최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- TCLBANKER는 59개의 은행 및 암호화폐 관련 도메인을 모니터링하는 브라질산 뱅킹 트로이목마입니다.
- 해당 악성 소프트웨어는 피해자의 WhatsApp 웹 세션과 Outlook 계정을 탈취하여 연락처에 있는 사람들에게 피싱 메시지를 전송하는 방식으로 확산됩니다.
- 주요 목표 고객은 브라질의 암호화폐 및 핀테크 사용자입니다.
엘라스틱 시큐리티 랩(Elastic Security Labs)의 보안 연구원들이 TCLBANKER라는 새로운 브라질산 뱅킹 트로이목마를 발견했습니다. 이 악성 프로그램 은 감염 시 피해자의 WhatsApp 및 Outlook 계정을 탈취하여 연락처에 있는 사람들에게 피싱 메시지를 보냅니다.
해당 캠페인은 REF3076으로 명명되었습니다. 연구원들은 공통된 인프라 및 코드 패턴을 기반으로 TCLBANKER가 이전에 알려진 MAVERICK/SORVEPOTEL 멀웨어 계열과 관련이 있다고 판단했습니다.
트로이 목마는 AI 프롬프트 생성기를 통해 확산됩니다
Elastic Security Labs에 따르면 해당 악성 프로그램은 Logitech에서 정식으로 서명한 앱인 Logi AI Prompt Builder의 트로이목마화된 설치 프로그램 형태로 배포됩니다. 이 설치 프로그램은 ZIP 파일 형태로 제공되며, DLL 사이드 로딩을 이용하여 Flutter 플러그인.
일단 로드되면, 이 트로이목마는 .NET Reactor로 보호되는 두 개의 페이로드를 배포합니다. 하나는 뱅킹 모듈이고, 다른 하나는 자체 전파를 위해 제작된 웜 모듈입니다.
트로이목마는 실행 후 .NET Reactor로 보호되는 두 개의 페이로드를 배포합니다. 하나는 뱅킹 모듈이고, 다른 하나는 자체적으로 확산될 수 있는 웜 모듈입니다.
분석 방지 검사로 연구원들의 연구 활동이 차단됩니다
TCLBANKER의 로더가 생성하는 지문은 세 부분으로 구성됩니다.
- 디버깅 방지 검사.
- 디스크 및 메모리 정보.
- 언어 설정.
지문 정보는 내장된 페이로드의 복호화 키를 생성합니다. 디버거가 연결되어 있거나, 샌드박스 환경이거나, 디스크 공간이 부족한 경우와 같이 문제가 발생하면 복호화 과정에서 의미 없는 데이터가 생성되고 악성 프로그램은 아무런 경고 없이 종료됩니다.
이 로더는 또한 보안 도구를 무력화하기 위해 Windows 원격 측정 기능을 패치합니다. 사용자 모드 후킹을 피하기 위해 직접적인 시스템 호출 트램폴린을 생성합니다.
감시 프로그램은 x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker, Frida와 같은 분석 소프트웨어를 항상 탐지합니다. 이러한 도구 중 하나라도 발견되면 악성 페이로드는 작동을 멈춥니다.
뱅킹 모듈은 브라질 컴퓨터에서만 활성화됩니다
뱅킹 모듈은 브라질에 있는 컴퓨터에서 활성화됩니다. 지역 코드, 시간대, 시스템 로캘 및 키보드 레이아웃을 확인하는 최소 두 가지 지오펜싱 검사가 수행됩니다.
이 악성 프로그램은 Windows UI 자동화를 이용하여 활성화된 브라우저의 URL 표시줄을 읽습니다. Chrome, Firefox, Edge, Brave, Opera, Vivaldi 등 다양한 브라우저에서 작동하며, 활성화된 URL을 매초마다 모니터링합니다.
악성 프로그램은 해당 URL을 59개의 암호화된 URL 목록과 대조합니다. 이 목록에는 브라질의 암호화폐, 은행 및 핀테크 웹사이트 링크가 포함되어 있습니다.
피해자가 공격 대상 웹사이트 중 하나를 방문하면 악성 프로그램이 원격 서버와 웹소켓 연결을 시도합니다. 그러면 해커는 해당 컴퓨터에 대한 완전한 원격 제어 권한을 획득하게 됩니다.
접근 권한이 부여되면 해커는 모든 모니터 위에 테두리 없는 최상위 창을 덧씌우는 오버레이를 사용합니다. 이 오버레이는 스크린샷에 나타나지 않으며, 피해자는 화면에 보이는 내용을 다른 사람과 공유할 수 없습니다.
해커 오버레이에는 세 가지 템플릿이 있습니다
- 가짜 브라질 전화번호가 포함된dent정보 수집 양식.
- 가짜 윈도우 업데이트 진행 화면.
- 피해자들이 지루해하도록 만드는 "피싱 대기 화면".
악성 봇이 WhatsApp과 Outlook을 통해 브라질 트로이목마를 유포하고 있습니다
두 번째 페이로드는 두 가지 경로를 통해 TCLBANKER를 새로운 피해자에게 확산시킵니다
- 왓츠앱 웹 앱.
- Outlook 받은편지함/계정.
WhatsApp 봇은 앱의 로컬 데이터베이스 디렉터리를 찾아 Chromium 브라우저에서 활성 WhatsApp 웹 세션을 검색합니다.
에 따르면 "헤드리스 브라우저는 그래픽 사용자 인터페이스가 없는 웹 브라우저"입니다 위키피디아. 그런 다음 자바스크립트를 삽입하여 봇 감지를 우회하고 피해자의 연락처 정보를 수집합니다.
마지막으로 봇은 TCLBANKER 설치 프로그램이 포함된 피싱 메시지를 피해자의 연락처로 보냅니다.
Outlook 봇은 COM(Component Object Model) 자동화를 통해 연결됩니다. COM 자동화를 사용하면 프로그램이 다른 프로그램을 제어할 수 있습니다.
해당 봇은 연락처 폴더와 받은 편지함 기록에서 이메일 주소를 가져온 다음, 피해자의 계정을 사용하여 피싱 이메일을 보냅니다.
해당 이메일의 제목은 "NFe disponível para impressão"이며, 영어로는 "tron송장 인쇄 가능"이라는 뜻입니다. 이 제목은 브라질 ERP 플랫폼을 사칭하는 피싱 도메인으로 연결됩니다.
이메일이 실제 계정에서 발송되기 때문에 스팸 필터를 통과할 가능성이 더 높습니다.
지난주, Cryptopolitan 했습니다 보도dent안드로이드 트로이목마 4종을 발견 가짜 로그인 오버레이를 이용해 800개 이상의 암호화폐, 뱅킹 및 소셜 미디어 앱을 표적으로 삼는
또 다른 보고서, StepDrainer라는 악성 소프트웨어가 가짜 Web3 지갑 연결 인터페이스를 사용하여 20개 이상의 블록체인 네트워크에서 지갑의 자금을 빼돌리고 있다고 합니다.
암호화폐 분야의 최고 전문가들이 이미 저희 뉴스레터를 구독하고 있습니다. 함께하고 싶으신가요? 지금 바로 참여하세요.
자주 묻는 질문
TCLBANKER는 무엇이며 어떻게 확산되나요?
TCLBANKER는 브라질에서 개발된 트로이목마로, 로지텍 설치 프로그램을 악용하여 유포됩니다. 이 악성 프로그램은 피해자의 WhatsApp 웹 세션과 Outlook 이메일 계정을 탈취하여 연락처에 있는 사람들에게 피싱 메시지를 전송합니다.
TCLBANKER는 어떤 암호화폐 플랫폼을 대상으로 하나요?
이 트로이목마는 브라질의 은행, 핀테크, 암호화폐 관련 도메인 59개의 암호화된 목록을 모니터링합니다. 피해자가 브라우저에서 해당 사이트 중 하나를 방문하면 원격 제어 세션이 활성화됩니다.
TCLBANKER는 어떻게 보안 연구원들의 탐지를 피하는 걸까요?
이 악성 프로그램은 디버깅 방지 검사, 시스템 하드웨어 및 언어 설정으로부터 환경 지문을 생성한 다음, 해당 지문을 사용하여 페이로드를 복호화합니다. 검사 중 하나라도 실패하면 페이로드는 복호화되지 않고 실행이 조용히 중단됩니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)