تروجان TCLBANKER از طریق حساب‌های پیام‌رسان قربانیان منتشر می‌شود

محققان امنیتی از Elastic Security Labs یک تروجان بانکی برزیلی جدید به نام TCLBANKER کشف کرده‌اند. هنگامی که این بدافزار یک دستگاه را آلوده می‌کند، حساب‌های WhatsApp و Outlook قربانی را تصاحب کرده و پیام‌های فیشینگ به مخاطبان آن‌ها ارسال می‌کند.

این کمپین با عنوان REF3076 شناخته می‌شود. بر اساس زیرساخت مشترک و الگوهای کد، محققان TCLBANKER را به خانواده بدافزار شناخته‌شده MAVERICK/SORVEPOTEL مرتبط دانسته‌اند.

تروجان از طریق یک سازنده پرامپت هوش مصنوعی گسترش می‌یابد

Elastic Security Labs اعلام می‌کند که این بدافزار به‌صورت یک نصب‌کننده تروجانیزه‌شده برای Logi AI Prompt Builder ارائه می‌شود که یک اپلیکیشن واقعی و امضاشده Logitech است. نصب‌کننده در قالب یک فایل ZIP ارائه می‌شود و از DLL sideloading برای اجرای یک فایل مخرب که شبیه یک پلاگین Flutter به نظر می‌رسد استفاده می‌کند.

پس از بارگذاری، تروجان دو پیلود محافظت‌شده با .NET Reactor را مستقر می‌کند. یکی یک ماژول بانکی و دیگری یک ماژول کرم برای خودانتشاری است.

پس از بارگذاری، تروجان دو پیلود محافظت‌شده با .NET Reactor را مستقر می‌کند. یکی یک ماژول بانکی و دیگری یک ماژول کرم است که می‌تواند خود را گسترش دهد.

بررسی‌های ضد تحلیل محققان را مسدود می‌کند

سه بخش وجود دارد که اثر انگشت ساخته‌شده توسط لودر TCLBANKER را تشکیل می‌دهند.

1. بررسی‌های ضد دیباگ.
2. اطلاعات دیسک و حافظه.
3. تنظیمات زبان.

اثر انگشت کلیدهای رمزگشایی برای پیلود جاسازی‌شده را تولید می‌کند. اگر چیزی نادرست به نظر برسد، مانند اتصال یک دیباگر، محیط سندباکس یا فضای دیسک کم، رمزگشایی داده‌های بی‌معنی تولید می‌کند و بدافزار بی‌سروصدا متوقف می‌شود.

لودر همچنین توابع تله‌متری ویندوز را پچ می‌کند تا ابزارهای امنیتی را کور کند. این لودر trampolines مستقیم syscall ایجاد می‌کند تا از هوک‌های حالت کاربر جلوگیری کند.

یک watchdog همیشه به دنبال نرم‌افزارهای تحلیلی مانند x64dbg، Ghidra، dnSpy، IDA Pro، Process Hacker و Frida می‌گردد. اگر هر یک از این ابزارها یافت شود، پیلود از کار می‌افتد.

ماژول بانکی فقط بر روی کامپیوترهای برزیلی فعال می‌شود

ماژول بانکی بر روی کامپیوترهای واقع در برزیل فعال می‌شود. حداقل دو بررسی geofencing وجود دارد که کد منطقه، منطقه زمانی، locale سیستم و طرح‌بندی صفحه‌کلید را بررسی می‌کنند.

بدافزار نوار URL مرورگر فعال را با استفاده از Windows UI Automation می‌خواند. این بدافزار در بسیاری از مرورگرها مانند Chrome، Firefox، Edge، Brave، Opera و Vivaldi کار می‌کند و هر ثانیه URL/URLهای فعال را رصد می‌کند.

سپس بدافزار URL را با فهرستی از ۵۹ URL رمزگذاری‌شده مطابقت می‌دهد. این فهرست شامل لینک‌هایی به وب‌سایت‌های کریپتو، بانک‌ها و فین‌تک در برزیل است.

هنگامی که قربانی از یکی از وب‌سایت‌های هدف بازدید می‌کند، بدافزار یک WebSocket به یک سرور راه دور باز می‌کند. سپس هکر کنترل کامل از راه دور کامپیوتر را به دست می‌گیرد.

پس از دسترسی، هکر از یک overlay استفاده می‌کند که یک پنجره بدون حاشیه و در بالاترین لایه را روی هر مانیتور قرار می‌دهد. این overlay در اسکرین‌شات‌ها قابل مشاهده نیست و قربانیان نمی‌توانند آنچه را که می‌بینند با دیگران به اشتراک بگذارند.

overlay هکر سه قالب دارد:

• یک فرم جمع‌آوری اطلاعات ورود با یک شماره تلفن جعلی برزیلی.
• یک صفحه پیشرفت به‌روزرسانی جعلی ویندوز.
• یک "صفحه انتظار vishing" که قربانیان را مشغول نگه می‌دارد.

بات‌های مخرب تروجان برزیلی را در WhatsApp و Outlook گسترش می‌دهند

پیلود دوم TCLBANKER را از طریق دو روش به قربانیان جدید منتقل می‌کند:

• اپلیکیشن وب WhatsApp.
• صندوق‌های ورودی/حساب‌های Outlook.

بات WhatsApp با شناسایی دایرکتوری‌های پایگاه داده محلی اپلیکیشن، به دنبال نشست‌های فعال WhatsApp Web در مرورگرهای Chromium می‌گردد.

بات پروفایل مرورگر را کلون می‌کند، سپس یک نمونه Chromium بدون رابط گرافیکی (headless) راه‌اندازی می‌کند. طبق ویکی‌پدیا، "مرورگر بدون رابط گرافیکی یک مرورگر وب بدون رابط کاربری گرافیکی است." سپس JavaScript تزریق می‌کند تا از تشخیص بات جلوگیری کند و مخاطبان قربانی را جمع‌آوری می‌کند.

در نهایت، بات پیام‌های فیشینگ حاوی نصب‌کننده TCLBANKER را به مخاطبان قربانی ارسال می‌کند.

بات Outlook از طریق اتوماسیون Component Object Model (COM) متصل می‌شود. اتوماسیون COM به یک برنامه اجازه می‌دهد برنامه دیگری را کنترل کند.

بات آدرس‌های ایمیل را از پوشه Contacts و تاریخچه صندوق ورودی برمی‌دارد، سپس ایمیل‌های فیشینگ را با استفاده از حساب قربانی ارسال می‌کند.

ایمیل‌ها دارای موضوع "NFe disponível para impressão" هستند که به فارسی به معنای "فاکتور الکترونیکی آماده چاپ" است. این ایمیل‌ها به یک دامنه فیشینگ که جعل هویت یک پلتفرم ERP برزیلی را می‌کند، لینک می‌دهند.

از آنجا که ایمیل‌ها از حساب‌های واقعی ارسال می‌شوند، احتمال بیشتری دارد که از فیلترهای اسپم عبور کنند.

هفته گذشته، Cryptopolitan گزارش داد که محققان چهار تروجان اندرویدی را شناسایی کردند که بیش از ۸۰۰ اپلیکیشن کریپتو، بانکی و شبکه‌های اجتماعی را با overlay‌های جعلی ورود هدف قرار می‌دهند.

در گزارش دیگری، یک بدافزار به نام StepDrainer کیف پول‌ها را در بیش از ۲۰ شبکه بلاکچین با استفاده از رابط‌های اتصال جعلی کیف پول Web3 تخلیه کرده است.

اگر می‌خواهید بدون هیاهوی معمول، با آرامش بیشتری وارد دنیای DeFi کریپتو شوید، این ویدیوی رایگان را ببینید.