新型 TCLBanker 恶意软件借 WhatsApp 和 Outlook 自我传播
- 浏览次数 73
- 喜欢 0
一款名为 TCLBanker 的新型木马,瞄准 59 家银行、金融科技及加密货币平台,通过伪装成罗技 AI Prompt Builder 的 MSI 安装程序来感染系统。
此外,该恶意软件包含针对 WhatsApp 和 Outlook 的自我传播蠕虫模块,能自动感染新的受害者。
这款新型银行木马由 Elastic 安全实验室发现,研究人员认为它是较旧的 Maverick/Sorvepotel 恶意软件家族的重大演变。
目前,TCLBanker 似乎主要针对巴西地区,具体通过检查时区、键盘布局和区域设置来识别。不过,拉丁美洲(LATAM)恶意软件过去曾更新以扩大目标范围,因此该威胁存在扩张的实际风险。
TCLBanker 的特性
Elastic 警告称,TCLBanker 针对分析和调试具备极强的防护能力,其基于环境的有效载荷解密程序在沙盒或分析环境中会失效。
它还运行一个持续的监控线程,不断搜寻诸如 x64dbg、IDA、dnSpy、Frida、ProcessHacker、Ghidra、de4dot 等分析工具。
该恶意软件通过 DLL 侧加载在合法的罗技应用程序环境中加载,因此不会触发受感染主机上安全产品的任何警报。
研究人员指出,虽然该加载器功能丰富,但都并非真正先进,代码特征表明其开发过程可能使用了人工智能。
银行模块利用 Windows UI 自动化应用程序编程接口(APIs)每秒监控浏览器地址栏,一旦受害者打开其瞄准的 59 个平台之一的网站,就会采取行动。
此时,它会与命令控制(C2)服务器建立 WebSocket 会话,发送受害者和系统信息,并启动远程控制操作。
操作员所具备的控制能力包括:
- 实时屏幕流传输
- 截图捕获
- 键盘记录
- 剪贴板劫持
- 外壳命令执行
- 窗口管理
- 文件系统访问
- 进程枚举
- 远程鼠标 / 键盘控制
在活动会话期间,任务管理器进程会被终止,以防止操作中断,并对受害者隐藏恶意活动。
为支持数据窃取,TCLBanker 使用基于 WPF 的覆盖系统,可向受害者推送虚假的凭证提示框、PIN 输入键盘、电话号码收集表单、虚假的 “银行支持” 等待界面、虚假的 Windows 更新界面以及各种虚假的进度界面。
还有始终置顶的 “抠图式” 覆盖,只向受害者显示真实应用程序的选定部分,而隐藏其他部分。
WhatsApp 和 Outlook 蠕虫模块
TCLBanker 的一个有趣之处在于它能够自动传播到与主要受害者相关联的联系人。
该恶意软件会在 Chromium 浏览器配置文件中搜索已认证的 WhatsApp 网页 IndexedDB 数据,并启动一个隐藏的 Chromium 实例来劫持受害者的账户。
然后,它收集联系人,筛选出巴西号码,并从受害者账户向这些号码发送垃圾信息,引导他们访问 TCLBanker 分发平台。
另一个蠕虫模块通过 COM 自动化滥用微软 Outlook,启动该应用程序,收集联系人和发件人地址,并通过受害者的电子邮件账户发送网络钓鱼邮件。
Elastic 总结认为,TCLBanker 是拉丁美洲恶意软件演变的典型例子,为低层级网络犯罪分子提供了曾经只有高度复杂工具才具备的功能。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文