Поделиться
Новый банковский троянец расползается червем через WhatsApp* и Outlook
Троян TCLBanker, вероятно, разработанный с использованием ИИ, пока что атакует только пользователей в Бразилии. Однако в прошлом ареал действия латиноамериканских вредоносов неоднократно расширялся
Пока только в Бразилии
Новый банковский троянец TCLBanker распространяется в формате «червя» через мессенджер WhatsApp* и почтовый клиент Outlook. Эксперты фирмы Elastic Security Labs, обнаружившие вредонос, указывают, что он способен атаковать 59 банковских, fintech- и криптовалютных платформ. Интересно, что он также использует скомпрометированный инсталлятор (.msi) продукта Logitech AI Prompt Builder для заражения систем.
В Elastic новый вредонос относят к уже известному семейству MAVERICK/SORVEPOTEL, но отмечают, что TCLBanker - это его следующая ступень развития.
На данный момент троянец атакует пользователей исключительно в Бразилии: он проверяет временные зоны, клавиатурные раскладки и язык операционной системы.
Однако, как отмечают в Elastic, в прошлом вредоносные программы, обкатанные в Латинской Америке, нередко расширяли свой охват, и вероятность, что с TCLBanker произойдет то же самое, очень высока.
Исследователи отмечают, что вредонос обладает очень эффективной защитой от инструментов анализа и отладки. Его модуль распаковки полезной нагрузки в изолированных средах отказывается работать; вдобавок, он создает постоянный процесс, отслеживающий такие аналитические средства как x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot и т.д.
При попадании в систему троянец загружается в контексте легитимного приложения от Logitech (посредством побочной подгрузки DLL), так что антивирусы на него не реагируют.
«Банковский» модуль антивируса каждую секунду проверяет содержимое адресной строки браузера, используя API автоматизации пользовательского интерфейса Windows. Если жертва открывает любой из 59 целевых ресурсов, вредонос сразу же устанавливает WebSocket-соединение с контрольным сервером, отправляет туда данные о системе жертвы и задействует режим удаленного управления.
Оператору вредоноса транслируется содержимое экрана, кроме того, он может делать скриншоты, перехватывать нажатия клавиш и содержимое буфера обмена. Сверх этого, он может запускать в системе жертвы Shell-оболочку и выполнять команды в ней, осуществлять управления окнами, получать доступ к файловой системе и брать под контроль мышь и клавиатуру жертвы.
Во время активной сессии процесс Диспетчера задач (Task Manager) Windows блокируется.
Для вывода данных TCLBanker использует WPF-оверлей, который может выводить на экране жертвы поддельные поля для ввода учетных данных, PIN-номера, формы для перехвата телефонного номера, поддельные страницы клиентской поддержки, мнимые обновления Windows и другие страницы-обманки.
Есть также оверлеи, которые перекрывают экран частично, оставляя видимой только часть оригинальных страниц или приложений.
И снова «черви»
Что касается функций «червя», то TCLBanker действительно способен распространяться целиком самостоятельно, используя списки контактов жертвы. Для этого вредонос ищет в учетных данных браузеров на базе Chromium базу данных WhatsApp* (WhatsApp* Web IndexedDB), а найдя таковую - запускает скрытую сессию, захватывающую контроль над пользовательским профилем.
Из списка контактов выбираются только те, которые соответствуют бразильским телефонным номерам, - и по ним рассылается спам, завлекающий пользователей на ресурсы, с которых распространяются инсталляторы TCLBanker.
Модуль для Microsoft Outlook эксплуатирует COM-автоматизацию, запускает клиентское приложение, собирает контакты и адреса отправителя, и рассылает фишинговые сообщения от имени жертвы.
Исследователи Elastic полагают, что разработка вредоноса велась с использованием ИИ: об этом свидетельствуют артефакты в коде. Кроме того, вредонос функционально весьма богат, но ни одна из них не тянет на продвинутый статус.
«В конечном счете, как справедливо отмечают в Elastic, эта программа дает в руки хакерам-любителям функциональность, прежде встречавшуюся только в узкоспециализированных вредоносах более высокого эшелона, нежели TCLBanker, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Эти функции могут быть реализованы на не самом продвинутом уровне, но они, вероятнее всего, неплохо работают, хотя противоотладочные меры исследователи смогли успешно обойти».
Эксперт добавил, что TCLBanker - это еще и свидетельство тому, что «черви», бич начала 2000-х, снова становятся актуальным вызовом для кибербезопасности, пусть и не столь же острым.
Поделиться
Короткая ссылка
