最优质的加密货币资讯直接发送到您的邮箱。.
- TCLBANKER 是一款巴西银行木马,监控 59 个银行和加密货币域名。.
- 该恶意软件通过劫持受害者的 WhatsApp Web 会话和 Outlook 帐户来传播,向其联系人发送钓鱼信息。.
- 巴西加密货币和金融科技用户是主要目标群体。.
Elastic Security Labs 的安全研究人员发现了一种名为 TCLBANKER 的新型巴西银行木马。 该木马一旦感染计算机,就会接管受害者的 WhatsApp 和 Outlook 帐户,并向其联系人发送钓鱼邮件。
该攻击活动被标记为 REF3076。基于共同的基础设施和代码模式,研究人员已将 TCLBANKER 与之前已知的恶意软件家族 MAVERICK/SORVEPOTEL 联系起来。.
木马程序通过人工智能提示生成器传播
Elastic Security Labs 表示, 该恶意软件伪装成 Logi AI Prompt Builder 的木马安装程序,而 Logi AI Prompt Builder 本身是一个经过 Logitech 官方签名的应用程序。该安装程序以 ZIP 文件的形式存在,并利用 DLL 侧加载技术运行一个伪装成 Flutter 插件的。
加载完成后,该木马程序会部署两个受 .NET Reactor 保护的有效载荷。一个是银行模块,另一个是专为自我传播而构建的蠕虫模块。.
加载完成后,该木马会部署两个受 .NET Reactor 保护的有效载荷。一个是银行模块,另一个是能够自我传播的蠕虫模块。.
反分析检查阻碍研究人员
TCLBANKER 加载器构建的指纹由三个部分组成。.
- 反调试检查。.
- 磁盘和内存信息。.
- 语言设置。.
指纹会生成嵌入式有效载荷的解密密钥。如果出现异常情况,例如连接了调试器、使用了沙箱环境或磁盘空间不足,解密过程将产生乱码,恶意软件也会静默停止运行。.
该加载器还会修改 Windows 遥测功能,使其无法被安全工具检测到。它还会创建直接系统调用跳板,以避免用户模式钩子。.
监控程序会持续搜索诸如 x64dbg、Ghidra、dnSpy、IDA Pro、Process Hacker 和 Frida 之类的分析软件。如果发现任何此类工具,恶意程序将停止运行。.
银行模块仅在巴西计算机上激活。
银行模块在位于巴西的计算机上激活。至少会进行两项地理围栏检查,分别检查地区代码、时区、系统区域设置和键盘布局。.
该恶意软件利用 Windows UI 自动化功能读取当前浏览器地址栏。它可在 Chrome、Firefox、Edge、Brave、Opera 和 Vivaldi 等多种浏览器上运行,并每秒监控一次当前活动的 URL。.
该恶意软件随后会将该URL与一个包含59个加密URL的列表进行匹配。该列表包含指向巴西加密货币、银行和金融科技网站的链接。.
当受害者访问目标网站时,恶意软件会打开一个与远程服务器的 WebSocket 连接。然后,黑客就能完全远程控制计算机。.
一旦获得访问权限,黑客会使用一种叠加层,在所有显示器上叠加一个无边框的最顶层窗口。这种叠加层在屏幕截图中不可见,受害者也无法与他人分享他们看到的内容。.
黑客的叠加层有三种模板:
- 一份包含虚假巴西电话号码的dent收集表格。.
- 伪造的Windows更新进度屏幕。.
- 一个让受害者忙于应付的“钓鱼等待屏幕”。.
恶意机器人通过 WhatsApp 和 Outlook 传播巴西木马程序
第二个有效载荷通过两种方式将 TCLBANKER 传播给新的受害者:
- WhatsApp网页版。.
- Outlook收件箱/帐户。.
WhatsApp 机器人通过查找应用程序的本地数据库目录,在 Chromium 浏览器中查找活跃的 WhatsApp Web 会话。.
该机器人会克隆浏览器配置文件,然后启动一个无头 Chromium 浏览器实例。“无头浏览器是指没有图形用户界面的网页浏览器,” 维基百科。之后,它会注入 JavaScript 代码来绕过机器人检测机制,并窃取受害者的联系人信息。
最后,该机器人会向受害者的联系人发送包含 TCLBANKER 安装程序的网络钓鱼信息。.
Outlook 机器人通过组件对象模型 (COM) 自动化进行连接。COM 自动化允许一个程序控制另一个程序。.
该机器人会从联系人文件夹和收件箱历史记录中获取电子邮件地址,然后使用受害者的帐户发送钓鱼邮件。.
这些电子邮件的主题是“NFe disponível para impressão”,英文意思是“Electronic Invoice Available for Printing”(电子发票可供打印)。邮件中包含一个钓鱼网站链接,该网站冒充巴西的ERP平台。.
由于这些邮件是从真实账户发送的,因此更有可能绕过垃圾邮件过滤器。.
上周, Cryptopolitan 报道称,研究人员 发现dent四款 Android 木马程序, 它们利用虚假的登录界面攻击 800 多个加密货币、银行和社交媒体应用程序。
另一份 报告,一种名为 StepDrainer 的恶意软件利用虚假的 Web3 钱包连接接口,在 20 多个区块链网络上窃取钱包资金。
最顶尖的加密货币专家都在阅读我们的简报。想 加入他们?
常见问题解答
TCLBANKER是什么?它是如何传播的?
TCLBANKER 是一款巴西银行木马,通过植入恶意软件的罗技安装程序传播。它会劫持受害者的 WhatsApp Web 会话和 Outlook 电子邮件帐户,并向其联系人发送钓鱼邮件。.
TCLBANKER的目标加密货币平台有哪些?
该木马程序监控一个包含 59 个巴西银行、金融科技和加密货币域名的加密列表。当受害者在浏览器中访问其中任何一个网站时,它就会激活远程控制会话。.
TCLBANKER是如何避免被安全研究人员发现的?
该恶意软件会根据反调试检查、系统硬件和语言设置生成环境指纹,然后使用该指纹解密其有效载荷。如果任何一项检查失败,有效载荷将永远不会解密,执行也会静默停止。.
免责声明: 提供的信息并非交易建议。Cryptopolitan.com Cryptopolitan研究 对任何基于本页面信息进行的投资概不负责。我们trondentdentdentdentdentdentdentdent /或咨询合格的专业人士。
学速成课程
- 哪些加密货币可以让你赚钱
- 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
- 专业人士使用的鲜为人知的投资策略
- 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)