Одно неосторожное скачивание лишит ваше устройство всякой защиты.
Новый банковский троян TCLBanker показывает, как быстро меняются вредоносные программы для финансовых атак. Злоумышленники больше не ограничиваются кражей данных с одного заражённого устройства: вредоносная программа сама ищет новые цели через переписки и почту жертвы, превращая доверенные контакты в канал распространения.
TCLBanker обнаружила команда Elastic Security Labs. По данным специалистов, троян нацелен на 59 банковских, финтех- и криптовалютных платформ. Заражение начинается с MSI-установщика, замаскированного под Logitech AI Prompt Builder. После запуска вредоносный код загружается через легитимное приложение Logitech с помощью DLL Sideloading, что помогает скрыть активность от защитных решений.
Авторы отчёта связывают TCLBanker с семейством Maverick/Sorvepotel и считают новую угрозу серьёзным шагом вперёд. Сейчас троян ориентирован прежде всего на Бразилию: вредоносная программа проверяет часовой пояс, раскладку клавиатуры и региональные настройки. При этом специалисты напоминают, что латиноамериканские банковские трояны уже выходили за пределы первичной географии, поэтому риск расширения атак сохраняется.
TCLBanker тщательно защищён от анализа. Троян использует расшифровку полезной нагрузки, зависящую от окружения, из-за чего код может не сработать в песочнице или лабораторной среде. Вредоносная программа также постоянно ищет инструменты вроде x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra и de4dot.
Мы в MAX. Простите.
Финансовый модуль каждую секунду проверяет адресную строку браузера через Windows UI Automation API. Когда жертва открывает сайт одной из целевых платформ, троян связывается с командным сервером по WebSocket, передаёт данные о системе и запускает удалённое управление. Операторы могут видеть экран, делать снимки, записывать нажатия клавиш, подменять буфер обмена, выполнять команды, управлять файлами, процессами, мышью и клавиатурой. Во время активной сессии TCLBanker завершает «Диспетчер задач», чтобы жертва не заметила происходящее.
Для кражи данных троян показывает поддельные окна поверх настоящих приложений. Среди них формы для ввода логинов, PIN-кодов и номеров телефона, фальшивые экраны ожидания «службы поддержки банка», имитация обновления Windows и другие отвлекающие элементы.
Отдельную опасность создают модули самораспространения. TCLBanker ищет в профилях Chromium данные активной сессии WhatsApp Web, запускает скрытый экземпляр браузера, получает доступ к аккаунту жертвы и рассылает сообщения контактам с бразильскими номерами. Похожая схема применяется к Microsoft Outlook: троян использует COM-автоматизацию, собирает адреса контактов и отправителей, а затем рассылает фишинговые письма через почтовый ящик заражённого пользователя.