Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
Un trojan brasiliano dirotta WhatsApp per diffondere phishing legato alle criptovalute
- TCLBANKER è un trojan bancario brasiliano che monitora 59 domini bancari e di criptovalute.
- Il malware si diffonde dirottando le sessioni WhatsApp Web e gli account Outlook delle vittime per inviare messaggi di phishing ai loro contatti.
- Gli utenti brasiliani di criptovalute e fintech sono i principali destinatari.
I ricercatori di sicurezza di Elastic Security Labs hanno scoperto un nuovo trojan bancario brasiliano chiamato TCLBANKER. Una volta infettato un computer, prende il controllo degli account WhatsApp e Outlook della vittima e invia messaggi di phishing ai suoi contatti.
La campagna è identificata come REF3076. Sulla base di infrastrutture e schemi di codice comuni, i ricercatori hanno collegato TCLBANKER alla famiglia di malware MAVERICK/SORVEPOTEL, già nota in precedenza.
Il trojan si diffonde tramite un generatore di prompt basato sull'intelligenza artificiale
Elastic Security Labs Secondo , il malware si presenta come un programma di installazione trojanizzato per Logi AI Prompt Builder, un'applicazione Logitech autentica e firmata. Il programma di installazione è contenuto in un file ZIP e utilizza il sideloading di DLL per eseguire un file dannoso che si presenta come un plugin di Flutter.
Una volta caricato, il trojan distribuisce due payload protetti da .NET Reactor. Uno è un modulo bancario e l'altro è un modulo worm progettato per auto-propagarsi.
Dopo il caricamento, il trojan distribuisce due payload protetti da .NET Reactor. Uno è un modulo bancario e l'altro è un modulo worm in grado di diffondersi autonomamente.
I controlli anti-analisi bloccano i ricercatori
L'impronta digitale creata dal loader di TCLBANKER è composta da tre parti.
- Controlli anti-debugging.
- Informazioni su disco e memoria.
- Impostazioni della lingua.
L'impronta digitale genera le chiavi di decrittazione per il payload incorporato. Se qualcosa non va, ad esempio se è collegato un debugger, se si opera in un ambiente sandbox o se lo spazio su disco è insufficiente, la decrittazione produce dati illeggibili e il malware si arresta silenziosamente.
Il loader modifica anche le funzioni di telemetria di Windows per eludere gli strumenti di sicurezza. Crea inoltre dei percorsi di chiamata di sistema diretti per evitare gli hook in modalità utente.
Un sistema di monitoraggio è sempre alla ricerca di software di analisi come x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker e Frida. Se viene rilevato uno qualsiasi di questi strumenti, il payload smette di funzionare.
Il modulo bancario si attiva solo sui computer brasiliani
Il modulo bancario si attiva sui computer situati in Brasile. Sono previsti almeno due controlli di geofencing che analizzano il codice regionale, il fuso orario, le impostazioni locali del sistema e il layout della tastiera.
Il malware legge la barra degli indirizzi del browser attivo utilizzando l'automazione dell'interfaccia utente di Windows. Funziona su molti browser come Chrome, Firefox, Edge, Brave, Opera e Vivaldi e monitora gli URL attivi ogni secondo.
Il malware confronta quindi l'URL con un elenco di 59 URL crittografati. Questo elenco contiene link a siti web di criptovalute, banche e società fintech in Brasile.
Quando la vittima visita uno dei siti web presi di mira, il malware apre una connessione WebSocket verso un server remoto. In questo modo, l'hacker ottiene il pieno controllo remoto del computer.
Una volta ottenuto l'accesso, l'hacker utilizza una sovrapposizione che sovrappone una finestra senza bordi a ogni monitor, posizionandola sempre in primo piano. La sovrapposizione non è visibile negli screenshot e le vittime non possono condividere ciò che vedono con altri.
La sovrapposizione dell'hacker ha tre modelli:
- Un modulo per la raccolta didentcon un numero di telefono brasiliano falso.
- Una schermata di avanzamento fittizia di Windows Update.
- Una "schermata di attesa vishing" che tiene occupate le vittime.
Bot dannosi diffondono il trojan brasiliano su WhatsApp e Outlook
Il secondo payload diffonde TCLBANKER a nuove vittime in due modi:
- Applicazione web di WhatsApp.
- Caselle di posta/account di Outlook.
Il bot di WhatsApp cerca le sessioni attive di WhatsApp Web nei browser Chromium individuando le directory del database locale dell'app.
Il bot clona il profilo del browser, quindi avvia un'istanza headless di Chromium. "Un browser headless è un browser web privo di interfaccia grafica", secondo Wikipedia. Successivamente, inietta codice JavaScript per eludere i sistemi di rilevamento dei bot e raccoglie i contatti della vittima.
Infine, il bot invia messaggi di phishing contenenti il programma di installazione di TCLBANKER ai contatti della vittima.
Il bot di Outlook si connette tramite l'automazione COM (Component Object Model). L'automazione COM consente a un programma di controllare un altro programma.
Il bot preleva gli indirizzi email dalla cartella Contatti e dalla cronologia della posta in arrivo, quindi invia email di phishing utilizzando l'account della vittima.
Le email hanno come oggetto "NFe disponível para impressão", che in italiano significa "Fatturatrondisponibile per la stampa". Il link rimanda a un dominio di phishing che impersona una piattaforma ERP brasiliana.
Poiché le email vengono inviate da account reali, è più probabile che riescano a eludere i filtri antispam.
La scorsa settimana, Cryptopolitan ha riportato che i ricercatori hannodentquattro trojan Android che prendono di mira oltre 800 app di criptovalute, bancarie e social media con false schermate di accesso.
In un altro rapporto, un malware chiamato StepDrainer ha svuotato portafogli su oltre 20 reti blockchain utilizzando false interfacce di connessione ai portafogli Web3.
Le menti più brillanti del mondo delle criptovalute leggono già la nostra newsletter. Vuoi partecipare? Unisciti a loro.
Domande frequenti
Cos'è TCLBANKER e come si diffonde?
TCLBANKER è un trojan bancario brasiliano diffuso tramite un programma di installazione Logitech infetto. Dirotta le sessioni WhatsApp Web e gli account di posta elettronica Outlook delle vittime per inviare messaggi di phishing ai loro contatti.
Quali piattaforme di criptovalute prende di mira TCLBANKER?
Il trojan monitora un elenco crittografato di 59 domini brasiliani di banche, fintech e criptovalute. Attiva una sessione di controllo remoto quando la vittima visita uno qualsiasi di questi siti nel proprio browser.
Come fa TCLBANKER a evitare di essere individuato dai ricercatori di sicurezza?
Il malware genera un'impronta digitale dell'ambiente a partire dai controlli anti-debugging, dall'hardware di sistema e dalle impostazioni della lingua, quindi utilizza tale impronta per decrittografare il suo payload. Se uno qualsiasi dei controlli fallisce, il payload non viene decrittografato e l'esecuzione si interrompe silenziosamente.
Disclaimer. Le informazioni fornite non costituiscono consulenza finanziaria. Cryptopolitandi declina ogni responsabilità per gli investimenti effettuati sulla base delle informazioni contenute in questa pagina. Raccomandiamotrondentdentdentdentdentdentdentdent e/o di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
CORSO
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)