Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
- TCLBANKER — это бразильский банковский троян, который отслеживает 59 банковских и криптовалютных доменов.
- Вредоносная программа распространяется путем перехвата веб-сессий WhatsApp и учетных записей Outlook у жертв для рассылки фишинговых сообщений их контактам.
- Основной целевой аудиторией являются пользователи криптовалют и финтех-компаний из Бразилии.
Специалисты по безопасности из Elastic Security Labs обнаружили новый бразильский банковский троян под названием TCLBANKER. Заражая компьютер, он захватывает учетные записи WhatsApp и Outlook жертвы и рассылает фишинговые сообщения ее контактам.
Кампания обозначена как REF3076. На основе общей инфраструктуры и шаблонов кода исследователи связали TCLBANKER с ранее известным семейством вредоносных программ MAVERICK/SORVEPOTEL.
Троянская программа распространяется через конструктор подсказок на основе искусственного интеллекта
Компания Elastic Security Labs утверждает, что вредоносное ПО представляет собой троянизированный установщик для Logi AI Prompt Builder, настоящего подписанного приложения Logitech. Установщик находится в ZIP-архиве и использует метод загрузки DLL-файлов для запуска вредоносного файла, который выглядит как плагин Flutter.
После загрузки троян развертывает два защищенных с помощью .NET Reactor полезных нагрузки. Одна из них — банковский модуль, а другая — модуль червя, созданный для самораспространения.
После загрузки троян развертывает два защищенных с помощью .NET Reactor модуля. Один из них — банковский модуль, а другой — модуль червя, способный распространяться самостоятельно.
Проверки на предмет недопустимости анализа блокируют исследователей
Отпечаток пальца, создаваемый загрузчиком TCLBANKER, состоит из трех частей.
- Проверки на предмет отладки.
- Информация о диске и памяти.
- Языковые настройки.
Отпечаток пальца генерирует ключи расшифровки для встроенной полезной нагрузки. Если что-то кажется не так, например, подключен отладчик, используется изолированная среда или недостаточно места на диске, расшифровка выдает некорректные данные, и вредоносная программа молча останавливается.
Загрузчик также модифицирует функции телеметрии Windows, чтобы скрыть инструменты безопасности. Он создает прямые трамплины системных вызовов, чтобы избежать перехвата вызовов в пользовательском режиме.
Система мониторинга постоянно ищет программное обеспечение для анализа, такое как x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker и Frida. Если обнаруживается какой-либо из этих инструментов, полезная нагрузка перестаёт работать.
Банковский модуль активируется только на бразильских компьютерах
Банковский модуль активируется на компьютерах, расположенных в Бразилии. Проводится как минимум две проверки геозонирования, учитывающие код региона, часовой пояс, языковые настройки системы и раскладку клавиатуры.
Вредоносная программа считывает активную адресную строку браузера с помощью автоматизации пользовательского интерфейса Windows. Она работает во многих браузерах, таких как Chrome, Firefox, Edge, Brave, Opera и Vivaldi, и отслеживает активные URL-адреса каждую секунду.
Затем вредоносная программа сопоставляет URL-адрес со списком из 59 зашифрованных URL-адресов. Этот список содержит ссылки на сайты криптовалютных, банковских и финтех-компаний в Бразилии.
Когда жертва посещает один из целевых веб-сайтов, вредоносная программа открывает WebSocket-соединение с удаленным сервером. После этого хакер получает полный удаленный контроль над компьютером.
Получив доступ, хакер использует наложение, которое размещает поверх каждого монитора окно без рамок. Наложение не видно на скриншотах, и жертвы не могут поделиться увиденным с другими.
В оверлее хакера используются три шаблона:
- Форма для сбораdentданных с поддельным бразильским номером телефона.
- Имитация экрана с ходом обновления Windows.
- «Экран ожидания, позволяющий жертвам чем-то себя занять».
Вредоносные боты распространили бразильский троян в WhatsApp и Outlook
Вторая полезная нагрузка распространяет TCLBANKER среди новых жертв двумя способами:
- Веб-приложение WhatsApp.
- Входящие сообщения/учетные записи Outlook.
Бот WhatsApp ищет активные сессии WhatsApp Web в браузерах Chromium, находя локальные каталоги базы данных приложения.
Бот клонирует профиль браузера, а затем запускает экземпляр Chromium без графического интерфейса. «Безголовый браузер — это веб-браузер без графического пользовательского интерфейса», — говорится в Википедии. Затем он внедряет JavaScript, чтобы обойти обнаружение бота, и собирает контакты жертвы.
В конце бот рассылает фишинговые сообщения, содержащие установщик TCLBANKER, контактам жертвы.
Бот Outlook подключается через автоматизацию объектной модели компонентов (COM). Автоматизация COM позволяет одной программе управлять другой программой.
Бот берет адреса электронной почты из папки «Контакты» и истории входящих сообщений, а затем рассылает фишинговые письма, используя учетную запись жертвы.
В теме электронных писем указано “NFe disponível para impressão”, что в переводе на английский означает “tronсчет доступен для печати”. В них содержится ссылка на фишинговый домен, имитирующий бразильскую ERP-платформу.
Поскольку электронные письма отправляются с реальных учетных записей, они с большей вероятностью обойдут спам-фильтры.
На прошлой неделе Cryptopolitan сообщило, что исследователи выявилиdentчетыре трояна для Android, с криптовалютами, банковскими операциями и социальными сетями, с поддельными всплывающими окнами для входа в систему.
В другом отчетесообщается о вредоносной программе StepDrainer, которая опустошает кошельки в более чем 20 блокчейн-сетях, используя поддельные интерфейсы подключения к кошелькам Web3.
Самые умные криптоаналитики уже читают нашу рассылку. Хотите присоединиться? Вступайте в их ряды.
Часто задаваемые вопросы
Что такое TCLBANKER и как он распространяется?
TCLBANKER — это бразильский банковский троян, распространяемый через троянизированный установщик Logitech. Он перехватывает сеансы WhatsApp Web и учетные записи электронной почты Outlook у жертв, чтобы рассылать фишинговые сообщения их контактам.
На какие криптовалютные платформы ориентируется TCLBANKER?
Троянская программа отслеживает зашифрованный список из 59 бразильских доменов, относящихся к банковской, финтех- и криптовалютной отраслям. Она активирует сеанс удаленного управления, когда жертва посещает любой из этих сайтов в своем браузере.
Как TCLBANKER избегает обнаружения специалистами по информационной безопасности?
Вредоносная программа генерирует «отпечаток среды» на основе проверок на отладку, аппаратного обеспечения системы и языковых настроек, а затем использует этот отпечаток для расшифровки своей полезной нагрузки. Если какая-либо проверка не пройдена, полезная нагрузка никогда не расшифровывается, и выполнение прекращается без предупреждения.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtrondentdentdentdentdentdentdentdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.
КУРС
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)