最新ニュース
  • ライブ ライブ:トランプ大統領、アップルとのインテル向け半導体製造契約を締結、政府出資も相まって株価が急騰
    2026年5月8日 ライブアップデート
  • Linuxカーネルの欠陥により、暗号資産取引所、バリデーター、カストディシステムが警戒態勢に
    11分前 テクノロジー
  • ブラックロック、 Ethereum向けトークン化ファンド2銘柄の新規ローンチでラインナップを拡充
    2時間前の ニュース
  • 2026年には物理的な仮想通貨攻撃が過去最多のペースで発生し、被害額は1億100万ドルに達した。
    2時間前の ニュース
あなたへのおすすめ
  • Linuxカーネルの欠陥により、暗号資産取引所、バリデーター、カストディシステムが警戒態勢に
    Linuxカーネルの欠陥により、暗号資産取引所、バリデーター、カストディシステムが警戒態勢に
    11分前 テクノロジー
  • ブラックロックは新しいETFの立ち上げでイーサリアムのステーキングに賭ける
    ブラックロック、 Ethereum向けトークン化ファンド2銘柄の新規ローンチでラインナップを拡充
    2時間前の ニュース
  • 2026年には物理的な仮想通貨攻撃が過去最多のペースで発生し、被害額は1億100万ドルに達した。
    2026年には物理的な仮想通貨攻撃が過去最多のペースで発生し、被害額は1億100万ドルに達した。
    2時間前の ニュース
週刊
トップの座を維持する

最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.

ブラジルのトロイの木馬がWhatsAppを乗っ取り、暗号通貨フィッシングを拡散

によるランダ・モーゼスランダ・モーゼス
3分で読めました (8秒前)
ブラジル発のトロイの木馬がWhatsAppを乗っ取り、暗号通貨を使ったフィッシング詐欺を拡散。.
  • TCLBANKERは、59の銀行および暗号通貨関連のドメインを監視するブラジル発のバンキング型トロイの木馬です。.
  • このマルウェアは、被害者のWhatsApp WebセッションとOutlookアカウントを乗っ取り、連絡先にフィッシングメッセージを送信することで拡散する。.
  • 主なターゲットはブラジルの仮想通貨およびフィンテックユーザーである。.

Elastic Security Labsのセキュリティ研究者らは、TCLBANKERという名のブラジル発の新たなバンキング型トロイの木馬を発見した。 このマルウェアは、感染したコンピュータのWhatsAppとOutlookアカウントを乗っ取り、連絡先にフィッシングメールを送信する。

このキャンペーンはREF3076と命名されている。研究者らは、共通のインフラストラクチャとコードパターンに基づいて、TCLBANKERを既知のマルウェアファミリーであるMAVERICK/SORVEPOTELと​​関連付けている。.

トロイの木馬がAIプロンプト作成ツールを通じて拡散

Elastic Security Labs によると、 に見せかけた悪意のあるファイルを実行する Flutterプラグイン

ロードされると、このトロイの木馬は.NET Reactorで保護された2つのペイロードを展開します。1つはバンキングモジュール、もう1つは自己増殖用に構築されたワームモジュールです。.

ロード後、このトロイの木馬は.NET Reactorで保護された2つのペイロードを展開します。1つはバンキングモジュール、もう1つは自己増殖可能なワームモジュールです。.

ブラジル発のトロイの木馬がWhatsAppを乗っ取り、暗号通貨を使ったフィッシング詐欺を拡散。.
悪意のあるファイルを含むファイルディレクトリの内容。出典:Elastic Security Labs。.

分析妨害チェックが研究者の活動を阻害する

TCLBANKERのローダーが作成する指紋は、3つの部分から構成されています。.

  1. デバッグ対策チェック。.
  2. ディスクとメモリの情報。.
  3. 言語設定。.

指紋認証によって、埋め込まれたペイロードの復号鍵が生成されます。デバッガーが接続されている、サンドボックス環境である、ディスク容量が不足しているなど、何らかの異常が検出された場合には、復号処理によって無意味なデータが出力され、マルウェアは静かに停止します。.

ローダーは、Windowsのテレメトリ機能をセキュリティツールに認識させないようにパッチを適用する。また、ユーザーモードのフックを回避するために、直接的なシステムコール・トランポリンを作成する。.

監視ツールは、x64dbg、Ghidra、dnSpy、IDA Pro、Process Hacker、Fridaなどの分析ソフトウェアを常に監視しています。これらのツールのいずれかが検出されると、ペイロードは動作を停止します。.

銀行モジュールはブラジルのコンピュータでのみ有効になります

バンキングモジュールはブラジル国内のコンピュータで起動します。地域コード、タイムゾーン、システムロケール、キーボードレイアウトを確認するジオフェンシングチェックが最低2段階で行われます。.

このマルウェアは、Windows UIオートメーションを使用してアクティブなブラウザのURLバーを読み取ります。Chrome、Firefox、Edge、Brave、Opera、Vivaldiなど、多くのブラウザで動作し、アクティブなURLを毎秒監視します。.

マルウェアは、そのURLを59個の暗号化されたURLのリストと照合します。このリストには、ブラジルの暗号通貨、銀行、フィンテック関連のウェブサイトへのリンクが含まれています。.

被害者が標的のウェブサイトにアクセスすると、マルウェアはリモートサーバーへのWebSocket接続を確立します。これにより、ハッカーはコンピュータを完全にリモート制御できるようになります。.

アクセスが許可されると、ハッカーはオーバーレイを使用して、すべてのモニターの上に境界線のない最上部のウィンドウを表示します。このオーバーレイはスクリーンショットには写らないため、被害者は画面を他者と共有することができません。.

ハッカーのオーバーレイには3つのテンプレートがあります。

  • 偽のブラジル電話番号が記載された、dent情報収集フォーム。.
  • 偽のWindowsアップデート進行状況画面。.
  • 被害者を忙しくさせ続けるための「フィッシング詐欺用待機画面」。.

悪意のあるボットがWhatsAppとOutlookでブラジルのトロイの木馬を拡散

2番目のペイロードは、以下の2つの方法でTCLBANKERを新たな被害者に拡散します。

  • WhatsAppウェブアプリ。.
  • Outlookの受信トレイ/アカウント。.

WhatsAppボットは、アプリのローカルデータベースディレクトリを特定することで、Chromiumブラウザ上でアクティブなWhatsApp Webセッションを探します。.

このボットはブラウザプロファイルを複製し、ヘッドレスChromiumインスタンスを起動します。Wikipediaによると、「ヘッドレスブラウザとは、グラフィカルユーザーインターフェースを持たないウェブブラウザのことです」 その後、JavaScriptを挿入してボット検出を回避し、被害者の連絡先情報を収集します。

最後に、このボットは被害者の連絡先にTCLBANKERインストーラーを含むフィッシングメッセージを送信します。.

Outlookボットは、コンポーネントオブジェクトモデル(COM)オートメーションを介して接続します。COMオートメーションを使用すると、あるプログラムが別のプログラムを制御できます。.

このボットは、連絡先フォルダと受信履歴からメールアドレスを取得し、被害者のアカウントを使用してフィッシングメールを送信します。.

これらのメールの件名は「NFe disponível para impressão」で、英語では「電子tron書印刷可能」という意味です。リンク先はブラジルのERPプラットフォームを装ったフィッシングサイトです。.

これらのメールは実際のアカウントから送信されているため、スパムフィルターをすり抜ける可能性が高い。.

先週、 Cryptopolitan た がdent4つのAndroidトロイの木馬を特定したと 偽のログイン画面を表示することで800以上の暗号通貨、銀行、ソーシャルメディアアプリを標的とする

別の 報告、StepDrainerと呼ばれるマルウェアが、偽のWeb3ウォレット接続インターフェースを使用して、20以上のブロックチェーンネットワーク上のウォレットから資金を抜き取っているという。

最も賢い暗号通貨マインドを持つ人々はすでに私たちのニュースレターを読んでいます。参加してみませんか?ぜひ ご参加ください

よくある質問

TCLBANKERとは何ですか?また、どのように広まるのですか?

TCLBANKERは、トロイの木馬化されたLogitechインストーラーを通じて配信されるブラジル発のバンキング型トロイの木馬です。被害者のWhatsApp WebセッションとOutlookメールアカウントを乗っ取り、連絡先にフィッシングメールを送信します。.

TCLBANKERはどの暗号資産プラットフォームをターゲットにしているのか?

このトロイの木馬は、ブラジルの銀行、フィンテック、暗号通貨関連のドメイン59件を暗号化したリストを監視しています。被害者がブラウザでこれらのサイトのいずれかにアクセスすると、リモートコントロールセッションが起動します。.

TCLBANKERはどのようにしてセキュリティ研究者による検出を回避しているのか?

このマルウェアは、デバッグ対策チェック、システムハードウェア、言語設定から環境フィンガープリントを生成し、そのフィンガープリントを使用してペイロードを復号化します。いずれかのチェックが失敗した場合、ペイロードは復号化されず、実行は静かに停止します。.

この記事を共有する

免責事項: 本情報は投資助言ではありません。Cryptopolitan.com Cryptopolitan、 本ページの情報に基づいて行われた投資について一切責任を負いません。投資判断を行う前に、ごtrondentdentdentdentdentdentdentdent で調査を行うか、資格のある専門家にご相談されることを
ランダ・モーゼス

ランダ・モーゼス

ランダはテクノロジーを専門とするライター兼編集者です。ブラッドフォード大学で電気tron工学の学位を取得しています。Forward Protocol、Amazix、Cryptosomniacで勤務経験があります。.

目次
1. トロイの木馬がAIプロンプト作成ツールを通じて拡散
2. 分析妨害チェックが研究者の活動を阻害する
3. 銀行モジュールはブラジルのコンピュータでのみ有効になります
4. 悪意のあるボットがWhatsAppとOutlookでブラジルのトロイの木馬を拡散
この記事を共有する
もっと…ニュース
すべて表示
チャットGPT

ChatGPTの5つの独創的な活用法と、それに対する対処法
3年前 テック ジョン・パーマー
AIを活用したソリューション

ロイター:93%のビジネスリーダーがブランドサステナビリティ管理にAIを活用したソリューションを支持
3年前 テック ジョン・パーマー
フランスのAIエコシステム

マクロン氏がフランスの活気に満ちた生産的なAIエコシステムをどのように支援しているか
3年前 テック グローリーカブル
生成AI

ブルームバーグは、生成AI市場が2032年までに1.3兆ドルに達すると予測している。
3年前 テック アミール・シェイク
  • Base とは何ですか? Coinbase が立ち上げた Ethereum レイヤー 2 ネットワーク。.
    BASEとは?Coinbaseが立ち上げた Ethereum レイヤー2ネットワーク
    2025年10月21日 暗号通貨を学ぶ:初心者向けガイド
  • Dogecoin vs. Bitcoin:主な技術的違い
    Dogecoin vs. Bitcoin:主な技術的違い
    2025年10月20日 暗号通貨を学ぶ:初心者向けガイド
  • 暗号通貨の TVL (Total Value Locked) とは何ですか?
    暗号通貨の TVL (Total Value Locked) とは何ですか?
    2025年10月14日 暗号通貨を学ぼう:初心者向けガイド
  • 暗号通貨のホワイトペーパーの読み方
    暗号通貨のホワイトペーパーの読み方
    2025年10月13日 暗号通貨を学ぼう:初心者向けガイド
  • Ripple と XRP と XRP Ledger の違いは何ですか?
    Ripple と XRP と XRP Ledger の違いは何ですか?
    2025年10月13日 暗号通貨を学ぼう:初心者向けガイド
  • 暗号通貨のマルチシグウォレットとは何ですか?
    暗号通貨のマルチシグウォレットとは何ですか?
    2025年10月10日 暗号通貨を学ぼう:初心者向けガイド
ディープ クリプト
速習コース
  • どの仮想通貨でお金が稼げるか
  • ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
  • プロが使う、あまり知られていない投資戦略
  • 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)