TCLBANKER木馬通過受害者自己的即時通訊賬戶傳播。

Elastic Security Labs 的安全研究人員發現了一種名爲 TCLBANKER 的新型巴西銀行木馬。 該木馬一旦感染計算機，就會接管受害者的 WhatsApp 和 Outlook 帳戶，並向其聯繫人發送釣魚郵件。

該攻擊活動被標記爲 REF3076。基於共同的基礎設施和代碼模式，研究人員已將 TCLBANKER 與之前已知的惡意軟件家族 MAVERICK/SORVEPOTEL 聯繫起來。.

木馬程序通過人工智能提示生成器傳播

Elastic Security Labs 表示， 該惡意軟件僞裝成 Logi AI Prompt Builder 的木馬安裝程序，而 Logi AI Prompt Builder 本身是一個經過 Logitech 官方簽名的應用程序。該安裝程序以 ZIP 文件的形式存在，並利用 DLL 側加載技術運行一個僞裝成 Flutter 插件的。

加載完成後，該木馬程序會部署兩個受 .NET Reactor 保護的有效載荷。一個是銀行模塊，另一個是專爲自我傳播而構建的蠕蟲模塊。.

加載完成後，該木馬會部署兩個受 .NET Reactor 保護的有效載荷。一個是銀行模塊，另一個是能夠自我傳播的蠕蟲模塊。.

反分析檢查阻礙研究人員

TCLBANKER 加載器構建的指紋由三個部分組成。.

1. 反調試檢查。.
2. 磁盤和內存信息。.
3. 語言設置。.

指紋會生成嵌入式有效載荷的解密密鑰。如果出現異常情況，例如連接了調試器、使用了沙箱環境或磁盤空間不足，解密過程將產生亂碼，惡意軟件也會靜默停止運行。.

該加載器還會修改 Windows 遙測功能，使其無法被安全工具檢測到。它還會創建直接系統調用跳板，以避免用戶模式鉤子。.

監控程序會持續搜索諸如 x64dbg、Ghidra、dnSpy、IDA Pro、Process Hacker 和 Frida 之類的分析軟件。如果發現任何此類工具，惡意程序將停止運行。.

銀行模塊僅在巴西計算機上激活。

銀行模塊在位於巴西的計算機上激活。至少會進行兩項地理圍欄檢查，分別檢查地區代碼、時區、系統區域設置和鍵盤佈局。.

該惡意軟件利用 Windows UI 自動化功能讀取當前瀏覽器地址欄。它可在 Chrome、Firefox、Edge、Brave、Opera 和 Vivaldi 等多種瀏覽器上運行，並每秒監控一次當前活動的 URL。.

該惡意軟件隨後會將該URL與一個包含59個加密URL的列表進行匹配。該列表包含指向巴西加密貨幣、銀行和金融科技網站的鏈接。.

當受害者訪問目標網站時，惡意軟件會打開一個與遠程服務器的 WebSocket 連接。然後，黑客就能完全遠程控制計算機。.

一旦獲得訪問權限，黑客會使用一種疊加層，在所有顯示器上疊加一個無邊框的最頂層窗口。這種疊加層在屏幕截圖中不可見，受害者也無法與他人分享他們看到的內容。.

黑客的疊加層有三種模板：

• 一份包含虛假巴西電話號碼的dent收集表格。.
• 僞造的Windows更新進度屏幕。.
• 一個讓受害者忙於應付的“釣魚等待屏幕”。.

惡意機器人通過 WhatsApp 和 Outlook 傳播巴西木馬程序

第二個有效載荷通過兩種方式將 TCLBANKER 傳播給新的受害者：

• WhatsApp網頁版。.
• Outlook收件箱/帳戶。.

WhatsApp 機器人通過查找應用程序的本地數據庫目錄，在 Chromium 瀏覽器中查找活躍的 WhatsApp Web 會話。.

該機器人會克隆瀏覽器配置文件，然後啓動一個無頭 Chromium 瀏覽器實例。“無頭瀏覽器是指沒有圖形用戶界面的網頁瀏覽器，” 維基百科。之後，它會注入 JavaScript 代碼來繞過機器人檢測機制，並竊取受害者的聯繫人信息。

最後，該機器人會向受害者的聯繫人發送包含 TCLBANKER 安裝程序的網絡釣魚信息。.

Outlook 機器人通過組件對象模型 (COM) 自動化進行連接。COM 自動化允許一個程序控制另一個程序。.

該機器人會從聯繫人文件夾和收件箱歷史記錄中獲取電子郵件地址，然後使用受害者的帳戶發送釣魚郵件。.

這些電子郵件的主題是“NFe disponível para impressão”，英文意思是“Electronic Invoice Available for Printing”（電子發票可供打印）。郵件中包含一個釣魚網站鏈接，該網站冒充巴西的ERP平臺。.

由於這些郵件是從真實賬戶發送的，因此更有可能繞過垃圾郵件過濾器。.

上週， Cryptopolitan 報道稱，研究人員 發現dent四款 Android 木馬程序， 它們利用虛假的登錄界面攻擊 800 多個加密貨幣、銀行和社交媒體應用程序。

另一份 報告，一種名爲 StepDrainer 的惡意軟件利用虛假的 Web3 錢包連接接口，在 20 多個區塊鏈網絡上竊取錢包資金。

還在讓銀行保留最好的部分嗎？觀看我們的免費視頻，瞭解如何 成爲自己的銀行。