TCLBanker trojanca koristi WhatsApp i Outlook za samo-širenje, ciljajući 59 bancnih platforma
Novi TCLBanker trojanca se širi preko WhatsApp i Outlook, ciljajući 59 bankarskih i fintech platformi sa posebnim fokusom na Brazilske korisnike.
Šta se desilo?
Otkrivena je nova vrsta bankarskog trojanca nazvanog TCLBanker koji se širi samostalno koristeći WhatsApp i Outlook kontakte. Maliciozan softver koristi zaraženi MSI instalator lažne Logitech aplikacije da bi penetrirao sisteme i ciljao 59 bankarskih, fintech i kriptovalutnih platforma, prvenstveno u Brazilu. Elastic Security Labs je utvrdila da trojanca predstavlja naslednika starije porodice malicionog softvera Maverick/Sorvepotel.
Koga pogađa?
TCLBanker primarna ciljanja su korisnici u Brazilu, ali postoji značajan rizik da se poveća geografski obuhvat. Ugrozveni su korisnici banaka, fintech platformi i kriptovalutnih berzi. Pošto trojanca ima mogućnost da se širi prekoWhatsApp i Outlook, ugrozveni su i kontakti zaraženih korisnika koji mogu biti izloženi phishing porukama ili spam linkovima.
Kako se zaštititi?
- Ne preuzimaj softver iz nepouzdanih izvora - preuzimaj samo sa zvaničnih sajtova i trgovina
- Budi skeptičan prema neočekivanim linkovima putem WhatsApp ili email, čak i ako dolaze od poznatih kontakata
- Koristi autentifikaciju sa više faktora na svim bankarskim i fintech nalozima
- Redovno ažuriraj operativni sistem i sve aplikacije
- Instaliraj antivirusni softver koji detektuje DLL side-loading tehnike
- Budi pažljiv sa zahtevima za unos lozinki ili PIN-a, jer trojanca koristi lažne ekrane
- Prati aktivnost Task Manager-a - trojanca ga gasi tokom napada
- Ne daj dozvole aplikacijama da pristupaju Windows UI Automation API bez opravdanja
Tehnički detalji
TCLBanker koristi DLL side-loading tehniku koristeći legitimnu Logitech aplikaciju kao kontejner. Trojanca je izuzetno zaštićen od analize - koristi payload dešifrovanje zavisno od okoline što ne radi u sandbox okruženju. Ima watchdog proces koji traži analitičke alate kao što su x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra i de4dot. Banking modul prati adresnu traku pretraživača svake sekunde preko Windows UI Automation API. Kada detektuje ciljanu platformu, uspostavlja WebSocket konekciju sa command-and-control serverom. Trojanca ima mogućnost live screen transmisije, snimanja zaslona (screenshot), keylogging, krađe i modifikacije clipboard-a, izvršavanja shell komandi, upravljanja prozorima, pristupa fajl sistemu i daljinske kontrole miša i tastature. WPF-baziran overlay sistem pravi lažne PIN tastature, obavijesti o bankarskoj podršci, lažne Windows Update ekrane i "cutout" overlay-e koji sakrivaju delove originalnih aplikacija. WhatsApp worm-modul pronalazi autentifikovane WhatsApp Web podatke iz Chromium profila i preuzima kontrolu nad WhatsApp nalogom da bi slao spam poruke kontaktima. Outlook worm-modul koristi COM automation da pristupi kontaktima i šalje phishing email-e.
Preporuka Sajber Radara
Svi korisnici, posebno oni koji koriste bankarske i fintech usluge, trebaju da budu izuzetno oprezni sa linkovima i preuzimanjem softvera, bez obzira da li dolaze od poznatih osoba. Preporuka je hitna primena svih dostupnih zaštitnih mera, uključujući dvofaktorsku autentifikaciju i redovno ažuriranje sistema.
