TCLBanker обнаружила команда Elastic Security Labs. По данным специалистов, троян нацелен на 59 банковских, финтех- и криптовалютных платформ. Заражение начинается с MSI-установщика, замаскированного под Logitech AI Prompt Builder. После запуска вредоносный код загружается через приложение Logitech с помощью DLL Sideloading, что помогает скрыть вредонос от защитных решений. Авторы отчёта связывают TCLBanker с семейством Maverick/Sorvepotel и считают новую угрозу серьёзным шагом вперёд. Сейчас троян ориентирован прежде всего на Бразилию, пишет Securitylab: вредоносная программа проверяет часовой пояс, раскладку клавиатуры и региональные настройки. При этом специалисты напоминают, что латиноамериканские банковские трояны уже выходили за пределы первичной географии, поэтому риск расширения атак сохраняется. TCLBanker тщательно защищён от анализа. Троян использует расшифровку полезной нагрузки, зависящую от окружения, из-за чего код может не сработать в песочнице или лабораторной среде. Вредоносная программа также постоянно ищет инструменты вроде x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra и de4dot. Финансовый модуль каждую секунду проверяет адресную строку браузера через Windows UI Automation API. Когда жертва открывает сайт одной из целевых платформ, троян связывается с командным сервером по WebSocket, передаёт данные о системе и запускает удалённое управление. Операторы могут видеть экран, делать снимки, записывать нажатия клавиш, подменять буфер обмена, выполнять команды, управлять файлами, процессами, мышью и клавиатурой. Во время активной сессии TCLBanker завершает «Диспетчер задач», чтобы жертва не заметила происходящее. Для кражи данных троян показывает поддельные окна поверх настоящих приложений. Среди них формы для ввода логинов, PIN-кодов и номеров телефона, фальшивые экраны ожидания «службы поддержки банка», имитация обновления Windows и другие отвлекающие элементы. Отдельную опасность создают модули самораспространения. TCLBanker ищет в профилях Chromium данные активной сессии WhatsApp Web, запускает скрытый экземпляр браузера, получает доступ к аккаунту жертвы и рассылает сообщения контактам с бразильскими номерами. Похожая схема применяется к Microsoft Outlook: троян использует COM-автоматизацию, собирает адреса контактов и отправителей, а затем рассылает фишинговые письма через почтовый ящик заражённого пользователя.
Новый банковский троян сам ищет новые цели через переписки и почту жертвы
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования
Анализ
×