TCLBANKERトロイの木馬は、被害者自身のメッセージングアカウントを通じて拡散する。

Elastic Security Labsのセキュリティ研究者らは、TCLBANKERという名のブラジル発の新たなバンキング型トロイの木馬を発見した。 このマルウェアは、感染したコンピュータのWhatsAppとOutlookアカウントを乗っ取り、連絡先にフィッシングメールを送信する。

このキャンペーンはREF3076と命名されている。研究者らは、共通のインフラストラクチャとコードパターンに基づいて、TCLBANKERを既知のマルウェアファミリーであるMAVERICK/SORVEPOTELと関連付けている。.

トロイの木馬がAIプロンプト作成ツールを通じて拡散

Elastic Security Labs によると、 に見せかけた悪意のあるファイルを実行する Flutterプラグイン。

ロードされると、このトロイの木馬は.NET Reactorで保護された2つのペイロードを展開します。1つはバンキングモジュール、もう1つは自己増殖用に構築されたワームモジュールです。.

ロード後、このトロイの木馬は.NET Reactorで保護された2つのペイロードを展開します。1つはバンキングモジュール、もう1つは自己増殖可能なワームモジュールです。.

分析妨害チェックが研究者の活動を阻害する

TCLBANKERのローダーが作成する指紋は、3つの部分から構成されています。.

1. デバッグ対策チェック。.
2. ディスクとメモリの情報。.
3. 言語設定。.

指紋認証によって、埋め込まれたペイロードの復号鍵が生成されます。デバッガーが接続されている、サンドボックス環境である、ディスク容量が不足しているなど、何らかの異常が検出された場合には、復号処理によって無意味なデータが出力され、マルウェアは静かに停止します。.

ローダーは、Windowsのテレメトリ機能をセキュリティツールに認識させないようにパッチを適用する。また、ユーザーモードのフックを回避するために、直接的なシステムコール・トランポリンを作成する。.

監視ツールは、x64dbg、Ghidra、dnSpy、IDA Pro、Process Hacker、Fridaなどの分析ソフトウェアを常に監視しています。これらのツールのいずれかが検出されると、ペイロードは動作を停止します。.

銀行モジュールはブラジルのコンピュータでのみ有効になります

バンキングモジュールはブラジル国内のコンピュータで起動します。地域コード、タイムゾーン、システムロケール、キーボードレイアウトを確認するジオフェンシングチェックが最低2段階で行われます。.

このマルウェアは、Windows UIオートメーションを使用してアクティブなブラウザのURLバーを読み取ります。Chrome、Firefox、Edge、Brave、Opera、Vivaldiなど、多くのブラウザで動作し、アクティブなURLを毎秒監視します。.

マルウェアは、そのURLを59個の暗号化されたURLのリストと照合します。このリストには、ブラジルの暗号通貨、銀行、フィンテック関連のウェブサイトへのリンクが含まれています。.

被害者が標的のウェブサイトにアクセスすると、マルウェアはリモートサーバーへのWebSocket接続を確立します。これにより、ハッカーはコンピュータを完全にリモート制御できるようになります。.

アクセスが許可されると、ハッカーはオーバーレイを使用して、すべてのモニターの上に境界線のない最上部のウィンドウを表示します。このオーバーレイはスクリーンショットには写らないため、被害者は画面を他者と共有することができません。.

ハッカーのオーバーレイには3つのテンプレートがあります。

• 偽のブラジル電話番号が記載された、dent情報収集フォーム。.
• 偽のWindowsアップデート進行状況画面。.
• 被害者を忙しくさせ続けるための「フィッシング詐欺用待機画面」。.

悪意のあるボットがWhatsAppとOutlookでブラジルのトロイの木馬を拡散

2番目のペイロードは、以下の2つの方法でTCLBANKERを新たな被害者に拡散します。

• WhatsAppウェブアプリ。.
• Outlookの受信トレイ／アカウント。.

WhatsAppボットは、アプリのローカルデータベースディレクトリを特定することで、Chromiumブラウザ上でアクティブなWhatsApp Webセッションを探します。.

このボットはブラウザプロファイルを複製し、ヘッドレスChromiumインスタンスを起動します。Wikipediaによると、「ヘッドレスブラウザとは、グラフィカルユーザーインターフェースを持たないウェブブラウザのことです」 。その後、JavaScriptを挿入してボット検出を回避し、被害者の連絡先情報を収集します。

最後に、このボットは被害者の連絡先にTCLBANKERインストーラーを含むフィッシングメッセージを送信します。.

Outlookボットは、コンポーネントオブジェクトモデル（COM）オートメーションを介して接続します。COMオートメーションを使用すると、あるプログラムが別のプログラムを制御できます。.

このボットは、連絡先フォルダと受信履歴からメールアドレスを取得し、被害者のアカウントを使用してフィッシングメールを送信します。.

これらのメールの件名は「NFe disponível para impressão」で、英語では「電子tron書印刷可能」という意味です。リンク先はブラジルのERPプラットフォームを装ったフィッシングサイトです。.

これらのメールは実際のアカウントから送信されているため、スパムフィルターをすり抜ける可能性が高い。.

先週、 Cryptopolitan た がdent4つのAndroidトロイの木馬を特定したと 偽のログイン画面を表示することで800以上の暗号通貨、銀行、ソーシャルメディアアプリを標的とする

別の 報告、StepDrainerと呼ばれるマルウェアが、偽のWeb3ウォレット接続インターフェースを使用して、20以上のブロックチェーンネットワーク上のウォレットから資金を抜き取っているという。

まだ銀行に一番大事な部分を預けていますか？ 自分の銀行になる方法。