TCLBANKER - sofisticiran brazilski trojanac koji se širi preko WhatsApp-a i Outlook-a
TCLBANKER je brazilski trojanac koji se širi preko WhatsApp-a i Outlook-a, pljačkajući bankarske pristupe putem lažnih ekrana punog dostupa.
Šta se desilo?
Otkrivena je visoko sofisticirana bankovska malver pod nazivom TCLBANKER koja predstavlja evoluciju starijih trojanaca iz Maverick i SORVEPOTEL porodica. Malver se distribuira kroz lažne Logitech instalere i ima mogućnost da se automatski širi preko WhatsApp Web i Microsoft Outlook-a, šaljući maliciozne datoteke i phishing poruke žrtvama direktno sa njihovih sopstvenih računa.
Koga pogađa?
Primarni ciljani su korisnici iz Brazila, posebno oni sa računima na 59 različitih banaka, fintech platformi i kripto berzi. Međutim, TCLBANKER može da ugrozi bilo koje korisnike koji preuzmu zaražene datoteke, što znači da se rizik može proširiti globalno kroz mehanizme samoproširenja. Male i srednje organizacije, kao i privatni korisnici, su najugroženiji jer nisu dovoljno informisani o ovim vrstama napada.
Kako se zaštititi?
- Budte oprezni pri preuzimanju ZIP datoteka iz nepouzdanih izvora, posebno instalera softverskih alata
- Redovno ažurirajte sve sisteme i bezbednosne alate na najnovije verzije
- Aktivirajte dvofaktorsku autentifikaciju na svim bitnim računima (banke, email, društvene mreže)
- Izbegavajte pristupe WhatsApp Web i Outlook preko javnih ili nepouzdanih računara
- Koristite napredne rešenja za zaštitu krajnjih tačaka koja mogu da detektuje neovlašćena okna punog ekrana i neobične procese
- Monitorujte izlazni email saobraćaj i tražite neobične šiljke aktivnosti iz Outlook-a
- Blokujte preuzimanja Logitech instalera iz sumnjivих izvora na nivou mreže
Tehnički detalji
TCLBANKER koristi DLL side-loading tehniku koja zloupotrebljava legitimnu i digitalno potpisanu Logitech aplikaciju (Logi AI Prompt Builder) za učitavanje maliciozne biblioteke. Trojanac sadrži mehanizme detekcije zaštite - proverava da li je aktivna sandbox okruženja, debugging alati, virtuelne mašine i određeni antivirus softver. Takođe potvrđuje jezički postavku i vremensku zonu sistema kako bi osigurao da je žrtva u Brazilu. Jednom aktiviran, trojanac kreira prikrivene pretraživače web preglednika (Chrome, Edge) i pretražuje aktivne WhatsApp Web sesije. Umesto zahtevanja QR koda, malver klonira podatke sačuvane sesije i šalje maliciozne datoteke kontaktima kroz lažna okna punog ekrana koja imitiraju bankarske zahteve. Za upravljanje aktivnostima koristi serverless cloud alate kao što je Cloudflare Workers, što omogućava brzu izmenu servera i izbegavanje detekcije.
SHA-256 heš žrtve loader komponente (screen_retriever_plugin.dll): 701d51b7be8b034c860bf97847bd59a87dca8481c4625328813746964995b626, 8a174aa70a4396547045aef6c69eb0259bae1706880f4375af71085eeb537059, 668f932433a24bbae89d60b24eee4a24808fc741f62c5a3043bb7c9152342f40, 63beb7372098c03baab77e0dfc8e5dca5e0a7420f382708a4df79bed2d900394. Inicijalna ZIP datoteka: XXL_21042026-181516.zip. Komandni i kontrolni (C2) serveri: campagna1-api.ef971a42.workers.dev, mxtestacionamentos.com, documents.ef971a42.workers.dev. Phishing stranice (u razvoju): arquivos-omie.com, documentos-online.com, afonsoferragista.com.
Preporuka Sajber Radara
Istraga je u toku i stručnjaci veruju da je kampanja još u ranoj fazi, što ukazuje na verovatnu ekspanziju. Preporučujemo svim korisnicima, a posebno organizacijama, da primene preporuke što pre i da prate najnovije bezbednosne obaveštaje kako bi se zaštitili od ovog evolucijskog rizika.
