TCLBANKER 트로이목마는 피해자 본인의 메시지 계정을 통해 확산됩니다

엘라스틱 시큐리티 랩(Elastic Security Labs)의 보안 연구원들이 TCLBANKER라는 새로운 브라질산 뱅킹 트로이목마를 발견했습니다. 이 악성 프로그램 은 감염 시 피해자의 WhatsApp 및 Outlook 계정을 탈취하여 연락처에 있는 사람들에게 피싱 메시지를 보냅니다.

해당 캠페인은 REF3076으로 명명되었습니다. 연구원들은 공통된 인프라 및 코드 패턴을 기반으로 TCLBANKER가 이전에 알려진 MAVERICK/SORVEPOTEL 멀웨어 계열과 관련이 있다고 판단했습니다.

트로이 목마는 AI 프롬프트 생성기를 통해 확산됩니다

Elastic Security Labs에 따르면 해당 악성 프로그램은 Logitech에서 정식으로 서명한 앱인 Logi AI Prompt Builder의 트로이목마화된 설치 프로그램 형태로 배포됩니다. 이 설치 프로그램은 ZIP 파일 형태로 제공되며, DLL 사이드 로딩을 이용하여 Flutter 플러그인.

일단 로드되면, 이 트로이목마는 .NET Reactor로 보호되는 두 개의 페이로드를 배포합니다. 하나는 뱅킹 모듈이고, 다른 하나는 자체 전파를 위해 제작된 웜 모듈입니다.

트로이목마는 실행 후 .NET Reactor로 보호되는 두 개의 페이로드를 배포합니다. 하나는 뱅킹 모듈이고, 다른 하나는 자체적으로 확산될 수 있는 웜 모듈입니다.

분석 방지 검사로 연구원들의 연구 활동이 차단됩니다

TCLBANKER의 로더가 생성하는 지문은 세 부분으로 구성됩니다.

1. 디버깅 방지 검사.
2. 디스크 및 메모리 정보.
3. 언어 설정.

지문 정보는 내장된 페이로드의 복호화 키를 생성합니다. 디버거가 연결되어 있거나, 샌드박스 환경이거나, 디스크 공간이 부족한 경우와 같이 문제가 발생하면 복호화 과정에서 의미 없는 데이터가 생성되고 악성 프로그램은 아무런 경고 없이 종료됩니다.

이 로더는 또한 보안 도구를 무력화하기 위해 Windows 원격 측정 기능을 패치합니다. 사용자 모드 후킹을 피하기 위해 직접적인 시스템 호출 트램폴린을 생성합니다.

감시 프로그램은 x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker, Frida와 같은 분석 소프트웨어를 항상 탐지합니다. 이러한 도구 중 하나라도 발견되면 악성 페이로드는 작동을 멈춥니다.

뱅킹 모듈은 브라질 컴퓨터에서만 활성화됩니다

뱅킹 모듈은 브라질에 있는 컴퓨터에서 활성화됩니다. 지역 코드, 시간대, 시스템 로캘 및 키보드 레이아웃을 확인하는 최소 두 가지 지오펜싱 검사가 수행됩니다.

이 악성 프로그램은 Windows UI 자동화를 이용하여 활성화된 브라우저의 URL 표시줄을 읽습니다. Chrome, Firefox, Edge, Brave, Opera, Vivaldi 등 다양한 브라우저에서 작동하며, 활성화된 URL을 매초마다 모니터링합니다.

악성 프로그램은 해당 URL을 59개의 암호화된 URL 목록과 대조합니다. 이 목록에는 브라질의 암호화폐, 은행 및 핀테크 웹사이트 링크가 포함되어 있습니다.

피해자가 공격 대상 웹사이트 중 하나를 방문하면 악성 프로그램이 원격 서버와 웹소켓 연결을 시도합니다. 그러면 해커는 해당 컴퓨터에 대한 완전한 원격 제어 권한을 획득하게 됩니다.

접근 권한이 부여되면 해커는 모든 모니터 위에 테두리 없는 최상위 창을 덧씌우는 오버레이를 사용합니다. 이 오버레이는 스크린샷에 나타나지 않으며, 피해자는 화면에 보이는 내용을 다른 사람과 공유할 수 없습니다.

해커 오버레이에는 세 가지 템플릿이 있습니다

• 가짜 브라질 전화번호가 포함된dent정보 수집 양식.
• 가짜 윈도우 업데이트 진행 화면.
• 피해자들이 지루해하도록 만드는 "피싱 대기 화면".

악성 봇이 WhatsApp과 Outlook을 통해 브라질 트로이목마를 유포하고 있습니다

두 번째 페이로드는 두 가지 경로를 통해 TCLBANKER를 새로운 피해자에게 확산시킵니다

• 왓츠앱 웹 앱.
• Outlook 받은편지함/계정.

WhatsApp 봇은 앱의 로컬 데이터베이스 디렉터리를 찾아 Chromium 브라우저에서 활성 WhatsApp 웹 세션을 검색합니다.

에 따르면 "헤드리스 브라우저는 그래픽 사용자 인터페이스가 없는 웹 브라우저"입니다 위키피디아. 그런 다음 자바스크립트를 삽입하여 봇 감지를 우회하고 피해자의 연락처 정보를 수집합니다.

마지막으로 봇은 TCLBANKER 설치 프로그램이 포함된 피싱 메시지를 피해자의 연락처로 보냅니다.

Outlook 봇은 COM(Component Object Model) 자동화를 통해 연결됩니다. COM 자동화를 사용하면 프로그램이 다른 프로그램을 제어할 수 있습니다.

해당 봇은 연락처 폴더와 받은 편지함 기록에서 이메일 주소를 가져온 다음, 피해자의 계정을 사용하여 피싱 이메일을 보냅니다.

해당 이메일의 제목은 "NFe disponível para impressão"이며, 영어로는 "tron송장 인쇄 가능"이라는 뜻입니다. 이 제목은 브라질 ERP 플랫폼을 사칭하는 피싱 도메인으로 연결됩니다.

이메일이 실제 계정에서 발송되기 때문에 스팸 필터를 통과할 가능성이 더 높습니다.

지난주, Cryptopolitan 했습니다 보도dent안드로이드 트로이목마 4종을 발견 가짜 로그인 오버레이를 이용해 800개 이상의 암호화폐, 뱅킹 및 소셜 미디어 앱을 표적으로 삼는

또 다른 보고서, StepDrainer라는 악성 소프트웨어가 가짜 Web3 지갑 연결 인터페이스를 사용하여 20개 이상의 블록체인 네트워크에서 지갑의 자금을 빼돌리고 있다고 합니다.

아직도 가장 좋은 부분을 은행에 맡기고 계신가요? 나만의 은행이 되는 방법.