Napadači koriste potpisane Logitečeve instalere za širenje bankarskog trojanca TCLBANKER
TCLBANKER trojanj se širi preko lažnih Logitečevih instalera ciljajući brazilske korisnike banaka i kripto berzi.
Šta se desilo?
Otkriven je novi bankarски trojanj pod nazivom TCLBANKER koji se širi preko lažnih verzija legitimnih Logitečevih instalera. Napadači su koristili tehniku DLL sideloading da bi ubacili zlonamerni kod u trojaniziranu verziju Logi AI Prompt Builder aplikacije, što omogućava nenadziran pristup računarima žrtava. Kampanja, označena kao REF3076, još se nalazi u ranim fazama razvoja sa jasnim znacima neodsutnosti finalnog koda.
Koga pogađa?
Kampanja je fokusirana prvenstveno na korisnike u Brazilu koji pristupaju sajtovima banaka, fintech platformi i kripto berzi. Trojanj prati 59 specifičnih finansijskih domena i aktivira se kada korisnik poseti bilo koju od njih. Potencijalno su ogroženi svi korisnici koji slučajno preuzmu i instaliraju trojaniziranu verziju aplikacije.
Kako se zaštititi?
- Preuzmite software samo sa zvaničnih sajtova proizvođača, a ne sa nepoznatih izvora
- Proverite digitalni potpis i sertifikat pre instalacije aplikacija
- Izbegavajte otvaranje ZIP datoteka čiji izvor nije pouzdан
- Koristite antivirus softver koji može detektovati DLL sideloading napade
- Redovno ažurirajte operativni sistem i sve instaliranih aplikacija
- Budite posebno oprezni sa instalerima koji se pojavljuju u neočekivanim kanalima
Tehnički detalji
Malver koristi DLL sideloading tehniku kroz lažnu datoteku screen_retriever_plugin.dll koja se predstavlja kao legitiman Flutter plugin. Trojanj može prikazati fake full-screen interfejse banaka, zamrznuti desktop, blokirati Task Manager i uspostaviti live konekciju sa command serverom napadača. Analiza Elastic Security Labs pokazuje da je TCLBANKER evolucija starijih malver familija MAVERICK i SORVEPOTEL. Lošio koda ukazuje da je infrastruktura napadača još uvek u fazi razvoja.
Preporuka Sajber Radara
Sve korisnike, posebno one sa pristupom finansijskim servisima, upozoravam da budu izuzetno oprezni pri preuzimanju i instalaciji softvera. Uvek proverite autentičnost instalera direktno sa zvaničnog sajta proizvođača i nikad ne instaliraјte aplikacije iz nepoznatih izvora.
