Новий банківський троян TCLBANKER атакує клієнтів банків через WhatsApp та Outlook

Фахівці з кібербезпеки виявили новий бразильський банківський троян TCLBANKER, який маскується під легітимний софт Logitech і поширюється через WhatsApp та Microsoft Outlook. Шкідлива програма вже націлена щонайменше на 59 банківських, фінтех- та криптовалютних платформ.

Дослідники Elastic Security Labs виявили новий бразильський банківський троян TCLBANKER, який уже здатний атакувати щонайменше 59 банківських, фінтех- та криптовалютних платформ. Кампанію відстежують під назвою REF3076, а саму шкідливу програму називають серйозним оновленням сімейства Maverick, пов’язаного з кластером Water Saci.

За словами фахівців, у центрі атаки знаходиться завантажувач із потужними механізмами антианалізу. Саме він запускає два основні компоненти: банківський троян та окремий модуль-черв’як, який використовує WhatsApp і Microsoft Outlook для масового поширення шкідливого ПЗ.

Ланцюг зараження починається із ZIP-архіву, всередині якого знаходиться шкідливий MSI-інсталятор. Для маскування зловмисники використовують підписану програму Logitech Logi AI Prompt Builder.

«Спостережуваний ланцюжок зараження містить шкідливий інсталятор MSI всередині ZIP-файлу», заявили дослідники Цзя Юй Чан, Даніель Степаніч, Сет Гудвін та Терренс ДеДжесус. «Ці пакети інсталяторів MSI зловживають підписаною програмою Logitech під назвою Logi AI Prompt Builder».

Після запуску шкідливе ПЗ використовує DLL side-loading для запуску зараженої бібліотеки “screen_retriever_plugin.dll”. Вона працює як завантажувач із вбудованою системою моніторингу, яка постійно перевіряє наявність антивірусів, пісочниць, дебагерів, дизасемблерів та інших інструментів аналізу.

Шкідлива DLL виконується лише у випадку, якщо її запускає “logiaipromptbuilder.exe” або “tclloader.exe”. Крім того, троян видаляє користувацькі перехоплення в “ntdll.dll” і вимикає Event Tracing for Windows, щоб ускладнити виявлення.

Для додаткового захисту TCLBANKER генерує спеціальний “відбиток” системи на основі антиналагоджувальних перевірок, інформації про диск та мовних параметрів. Якщо система не відповідає очікуваним умовам, корисне навантаження просто не розшифровується. Окремо перевіряється, чи встановлена у користувача бразильська португальська мова.

«Наприклад, якщо присутній відладчик, він створить неправильний хеш, тому, коли шкідливе програмне забезпечення спробує отримати ключі розшифрування з хешу, корисне навантаження не розшифрується правильно, і TCLBANKER припинить виконання», пояснили в Elastic.

Після проходження перевірок троян закріплюється в системі через заплановане завдання Windows і надсилає на сервер базову інформацію про заражений пристрій. Далі запускається механізм моніторингу URL-адрес у браузерах Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera та Vivaldi.

Якщо троян виявляє, що користувач відкрив сайт одного з цільових банків або фінансових сервісів, він встановлює WebSocket-з’єднання з командним сервером і переходить у режим віддаленого управління.

Оператори можуть:

• виконувати shell-команди

• робити скріншоти

• запускати або зупиняти трансляцію екрана

• маніпулювати буфером обміну

• активувати кейлогер

• дистанційно керувати мишею та клавіатурою

• працювати з файлами і процесами

• переглядати список активних вікон

• показувати фальшиві банківські накладки для крадіжки облікових даних

Для соціальної інженерії TCLBANKER використовує повноекранні WPF-накладки. Вони можуть імітувати екрани оновлення Windows, фальшиві індикатори завантаження або форми введення банківських даних, одночасно приховуючи свою активність від інструментів запису екрана.

Паралельно із цим окремий модуль-черв’як запускає кампанію поширення через WhatsApp та Outlook. WhatsApp-компонент використовує відкритий проєкт WPPConnect для автоматичної розсилки повідомлень контактам жертви, при цьому відсіюючи групи, розсилки та небразильські номери.

Outlook-модуль працює як спам-бот. Він використовує встановлений на пристрої Microsoft Outlook для надсилання фішингових листів прямо з реальної електронної адреси жертви, що допомагає обходити спам-фільтри та створює враження довіри.

«TCLBANKER захоплює сеанс WhatsApp та обліковий запис Outlook жертви, щоб розсилати спам до 3000 контактів за допомогою троянського інсталятора. Це надсилає шкідливе програмне забезпечення з власних облікових записів жертви через їхні власні контакти, використовуючи легітимну інфраструктуру».

Дослідники вважають, що REF3076 все ще перебуває на ранньому етапі розвитку. У коді вже помітили тестові назви процесів, шляхи налагодження та незавершений фішинговий сайт, що може свідчити про подальшу еволюцію кампанії.

В Elastic зазначають, що TCLBANKER добре показує, як швидко розвивається екосистема бразильських банківських троянів. Техніки, які раніше використовувалися лише складними APT-групами, тепер стають частиною звичайного кримінального шкідливого ПЗ.

«Кампанія успадковує довіру та доставку легітимних повідомлень, захоплюючи сеанси WhatsApp та облікові записи Outlook жертв. Це модель розповсюдження, яку традиційні шлюзи електронної пошти та засоби захисту, засновані на репутації, погано підготовлені до виявлення», підсумували в Elastic.