Trojan brasileiro sequestra WhatsApp para disseminar phishing de criptomoedas

Pesquisadores de segurança da Elastic Security Labs descobriram um novo trojan bancário brasileiro chamado TCLBANKER. Ao infectar um computador, ele assume o controle das contas do WhatsApp e do Outlook da vítima e envia mensagens de phishing para seus contatos.

A campanha foi identificada como REF3076. Com base em infraestrutura e padrões de código comuns, os pesquisadores associaram o TCLBANKER à família de malware já conhecida MAVERICK/SORVEPOTEL.

O cavalo de Troia se espalha por meio de um construtor de prompts de IA

A Elastic Security Labs afirma que o malware se apresenta como um instalador trojanizado para o Logi AI Prompt Builder, que é um aplicativo legítimo e assinado da Logitech. O instalador vem em um arquivo ZIP e usa o método de sideloading de DLL para executar um arquivo malicioso que se parece com um plugin do Flutter.

Uma vez carregado, o trojan implanta duas cargas úteis protegidas pelo .NET Reactor. Uma é um módulo bancário e a outra é um módulo de worm criado para autopropagação.

Após o carregamento, o trojan implanta duas cargas úteis protegidas pelo .NET Reactor. Uma é um módulo bancário e a outra é um módulo de worm capaz de se propagar.

Controles anti-análise bloqueiam pesquisadores

Existem três partes que compõem a impressão digital que o carregador do TCLBANKER constrói.

1. Verificações anti-depuração.
2. Informações sobre disco e memória.
3. Configurações de idioma.

A impressão digital gera as chaves de descriptografia para a carga útil incorporada. Se algo parecer errado, como um depurador conectado, um ambiente de sandbox ou pouco espaço em disco, a descriptografia produz dados inválidos e o malware para silenciosamente.

O carregador também modifica as funções de telemetria do Windows para ocultar as ferramentas de segurança. Ele cria trampolins de chamadas de sistema diretas para evitar interceptações em modo de usuário.

Um sistema de vigilância está sempre à procura de softwares de análise como x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker e Frida. Se alguma dessas ferramentas for encontrada, o payload para de funcionar.

O módulo bancário só é ativado em computadores brasileiros

O módulo bancário é ativado em computadores localizados no Brasil. Há no mínimo duas verificações de geolocalização que analisam o código de região, o fuso horário, a configuração regional do sistema e o layout do teclado.

O malware lê a barra de URL ativa do navegador usando a Automação da Interface do Usuário do Windows. Ele funciona em diversos navegadores, como Chrome, Firefox, Edge, Brave, Opera e Vivaldi, e monitora URLs ativas a cada segundo.

O malware então compara a URL com uma lista de 59 URLs criptografadas. Essa lista contém links para sites de criptomoedas, bancos e fintechs no Brasil.

Quando uma vítima visita um dos sites visados, o malware abre um WebSocket para um servidor remoto. O hacker então obtém controle remoto total do computador.

Uma vez concedido o acesso, o hacker utiliza uma sobreposição que coloca uma janela sem bordas, sempre visível, sobre todos os monitores. Essa sobreposição não é visível nas capturas de tela, e as vítimas não podem compartilhar o que veem com outras pessoas.

A sobreposição do hacker possui três modelos:

• Um formulário de coleta dedentcom um número de telefone brasileiro falso.
• Uma tela falsa de progresso do Windows Update.
• Uma "tela de espera de vishing" que mantém as vítimas ocupadas.

Bots maliciosos estão disseminando o trojan brasileiro no WhatsApp e no Outlook

A segunda carga útil dissemina o TCLBANKER para novas vítimas de duas maneiras:

• Aplicativo web do WhatsApp.
• Caixas de entrada/contas do Outlook.

O bot do WhatsApp procura por sessões ativas do WhatsApp Web em navegadores Chromium, localizando os diretórios do banco de dados local do aplicativo.

O bot clona o perfil do navegador e, em seguida, inicia uma instância do Chromium sem interface gráfica. "Um navegador sem interface gráfica é um navegador web sem uma interface gráfica de usuário", de acordo com a Wikipédia. Ele então injeta JavaScript para burlar a detecção de bots e coleta os contatos da vítima.

Ao final, o bot envia mensagens de phishing contendo o instalador do TCLBANKER para os contatos da vítima.

O bot do Outlook se conecta por meio da automação do Modelo de Objeto de Componente (COM). A automação COM permite que um programa controle outro programa.

O bot extrai endereços de e-mail da pasta Contatos e do histórico da caixa de entrada e, em seguida, envia e-mails de phishing usando a conta da vítima.

Os e-mails têm como assunto “NFe disponível para impressão”, que significa em português “FaturatronDisponível para Impressão”. O link leva a um domínio de phishing que se passa por uma plataforma ERP brasileira.

Como os e-mails são enviados de contas reais, é mais provável que eles passem pelos filtros de spam.

Na semana passada, Cryptopolitan noticiou que pesquisadores identificaramdentquatro trojans para Android tinham como alvo mais de 800 aplicativos de criptomoedas, bancos e redes sociais, utilizando sobreposições de login falsas.

Em outro relatório, um malware chamado StepDrainer tem drenado carteiras em mais de 20 redes blockchain usando interfaces de conexão de carteira Web3 falsas.