資安研究人員已標記一款先前未被記錄的巴西銀行木馬程式,名為 TCLBANKER,它能夠鎖定 59 個銀行、金融科技和加密貨幣平台。
Elastic Security Labs 以代號 REF3076 追蹤此活動。該惡意軟體家族被評估為 Maverick 的重大更新,而 Maverick 以利用名為 SORVEPOTEL 的蠕蟲透過 WhatsApp Web 傳播給受害者聯絡人而聞名。Maverick 活動歸因於一個被 Trend Micro 稱為 Water Saci 的威脅集群。
攻擊鏈的核心是一個具有強大反分析能力的載入器,它部署了兩個嵌入式模組:一個功能齊全的銀行木馬程式和一個利用 WhatsApp 和 Microsoft Outlook 進行傳播的蠕蟲元件。
安全研究人員 Jia Yu Chan、Daniel Stepanic、Seth Goodwin 和 Terrance DeJesus 表示:「觀察到的感染鏈將惡意的 MSI 安裝程式捆綁在 ZIP 檔案中。這些 MSI 安裝程式套件濫用了名為 Logi AI Prompt Builder 的簽署 Logitech 程式。」
該惡意軟體利用針對該應用程式的 DLL 側載,啟動一個惡意 DLL(「screen_retriever_plugin.dll」),該 DLL 作為一個具有「全面的看門狗子系統」的載入器,持續監控分析工具、沙箱、調試器、反彙編器、儀器工具和防毒軟體,以規避偵測。
具體來說,惡意 DLL 僅在被「logiaipromptbuilder.exe」(Logitech 程式)或「tclloader.exe」(可能是測試期間使用的可執行檔的參考)載入時才會執行。它還透過替換函式庫來移除端點安全軟體放置在「ntdll.dll」中的任何使用者模式掛鉤,並禁用用於 Windows 的事件追蹤 (ETW)遙測。
此外,該惡意軟體基於反調試和反虛擬化檢查、系統磁碟資訊檢查和語言檢查生成三個指紋,並利用它們創建一個環境雜湊值,用於解密嵌入式載荷。系統語言檢查確保使用者的預設語言是巴西葡萄牙語。
Elastic 解釋說:「例如,如果存在調試器,它將產生一個不正確的雜湊,因此當惡意軟體嘗試從雜湊中獲取解密金鑰時,載荷將無法正確解密,TCLBANKER 將停止執行。」
在這些檢查之後啟動的主要元件是銀行木馬程式,它再次驗證是否在巴西系統上運行,然後使用排定的任務建立持久性。隨後,它透過包含基本系統資訊的 HTTP POST 請求向外部伺服器發送信標。
TCLBANKER 還包含一個自我更新機制和一個 URL 監視器,該監視器使用 UI Automation 從前景瀏覽器的位址列中提取目前的 URL。此步驟針對 Google Chrome、Mozilla Firefox、Microsoft Edge、Brave、Opera 和 Vivaldi 等熱門瀏覽器。
提取的 URL 會與硬編碼的目標金融機構列表進行比對。如果匹配,它會與遠端伺服器建立 WebSocket 連線,並進入命令分派循環,使操作員能夠執行廣泛的任務。
為了進行數據竊取,TCLBANKER 依賴於基於 Windows Presentation Foundation (WPF) 的全螢幕疊加框架,利用憑證收集提示、語音釣魚等待畫面、偽造進度條和假 Windows 更新進行社群工程,同時隱藏疊加層免受螢幕擷取工具的影響。
同時,載入器調用蠕蟲模組,透過大規模的垃圾郵件和網路釣魚訊息傳播木馬。它採用雙管齊下的方法,包括一個劫持已驗證瀏覽器會話的 WhatsApp Web 蠕蟲,以及一個濫用 Microsoft Outlook 向受害者聯絡人發送假電子郵件的 Outlook 電子郵件機器人。
與 SORVEPOTEL 的情況一樣,WhatsApp 蠕蟲從伺服器檢索訊息模板,並利用開源專案 WPPConnect 自動向其他使用者發送訊息,同時過濾掉群組、廣播和非巴西號碼。
另一方面,Outlook 代理是一個電子郵件垃圾郵件機器人,它濫用受害者已安裝的 Microsoft Outlook 應用程式,從受害者的電子郵件地址發送網路釣魚電子郵件,從而繞過垃圾郵件過濾器,並使訊息看起來具有可信度。
Elastic 總結道:「TCLBANKER 反映了巴西銀行木馬生態系統中正在發生的更廣泛的成熟。曾經是更複雜的威脅行為者的標誌的技術:環境門控的載荷解密、直接系統呼叫生成、透過 WebSocket 的即時社群工程協調,現在正被打包成商品犯罪軟體。」
「該活動透過劫持受害者的 WhatsApp 會話和 Outlook 帳戶,繼承了合法通訊的信任度和可送達性。這是一種傳統電子郵件閘道和基於聲譽的防禦措施難以攔截的分發模式。」
