I ricercatori di sicurezza di Elastic Security Labs hanno scoperto un nuovo trojan bancario brasiliano chiamato TCLBANKER. Una volta infettato un computer, prende il controllo degli account WhatsApp e Outlook della vittima e invia messaggi di phishing ai suoi contatti.
La campagna è identificata come REF3076. Sulla base di infrastrutture e schemi di codice comuni, i ricercatori hanno collegato TCLBANKER alla famiglia di malware MAVERICK/SORVEPOTEL, già nota in precedenza.
Il trojan si diffonde tramite un generatore di prompt basato sull'intelligenza artificiale
Secondo Elastic Security Labs, il malware si presenta come un programma di installazione trojanizzato per Logi AI Prompt Builder, un'applicazione Logitech autentica e firmata. Il programma di installazione è contenuto in un file ZIP e utilizza il sideloading di DLL per eseguire un file dannoso che si presenta come un plugin di Flutter .
Una volta caricato, il trojan distribuisce due payload protetti da .NET Reactor. Uno è un modulo bancario e l'altro è un modulo worm progettato per auto-propagarsi.
Dopo il caricamento, il trojan distribuisce due payload protetti da .NET Reactor. Uno è un modulo bancario e l'altro è un modulo worm in grado di diffondersi autonomamente.
I controlli anti-analisi bloccano i ricercatori
L'impronta digitale creata dal loader di TCLBANKER è composta da tre parti.
- Controlli anti-debugging.
- Informazioni su disco e memoria.
- Impostazioni della lingua.
L'impronta digitale genera le chiavi di decrittazione per il payload incorporato. Se qualcosa non va, ad esempio se è collegato un debugger, se si opera in un ambiente sandbox o se lo spazio su disco è insufficiente, la decrittazione produce dati illeggibili e il malware si arresta silenziosamente.
Il loader modifica anche le funzioni di telemetria di Windows per eludere gli strumenti di sicurezza. Crea inoltre dei percorsi di chiamata di sistema diretti per evitare gli hook in modalità utente.
Un sistema di monitoraggio è sempre alla ricerca di software di analisi come x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker e Frida. Se viene rilevato uno qualsiasi di questi strumenti, il payload smette di funzionare.
Il modulo bancario si attiva solo sui computer brasiliani.
Il modulo bancario si attiva sui computer situati in Brasile. Sono previsti almeno due controlli di geofencing che analizzano il codice regionale, il fuso orario, le impostazioni locali del sistema e il layout della tastiera.
Il malware legge la barra degli indirizzi del browser attivo utilizzando l'automazione dell'interfaccia utente di Windows. Funziona su molti browser come Chrome, Firefox, Edge, Brave, Opera e Vivaldi e monitora gli URL attivi ogni secondo.
Il malware confronta quindi l'URL con un elenco di 59 URL crittografati. Questo elenco contiene link a siti web di criptovalute, banche e società fintech in Brasile.
Quando la vittima visita uno dei siti web presi di mira, il malware apre una connessione WebSocket verso un server remoto. In questo modo, l'hacker ottiene il pieno controllo remoto del computer.
Una volta ottenuto l'accesso, l'hacker utilizza una sovrapposizione che sovrappone una finestra senza bordi a ogni monitor, posizionandola sempre in primo piano. La sovrapposizione non è visibile negli screenshot e le vittime non possono condividere ciò che vedono con altri.
La sovrapposizione dell'hacker ha tre modelli:
- Un modulo per la raccolta di credenziali con un numero di telefono brasiliano falso.
- Una schermata di avanzamento fittizia di Windows Update.
- Una "schermata di attesa vishing" che tiene occupate le vittime.
Bot dannosi diffondono il trojan brasiliano su WhatsApp e Outlook.
Il secondo payload diffonde TCLBANKER a nuove vittime in due modi:
- Applicazione web di WhatsApp.
- Caselle di posta/account di Outlook.
Il bot di WhatsApp cerca le sessioni attive di WhatsApp Web nei browser Chromium individuando le directory del database locale dell'app.
Il bot clona il profilo del browser, quindi avvia un'istanza headless di Chromium. "Un browser headless è un browser web privo di interfaccia grafica", secondo Wikipedia . Successivamente, inietta codice JavaScript per eludere i sistemi di rilevamento dei bot e raccoglie i contatti della vittima.
Infine, il bot invia messaggi di phishing contenenti il programma di installazione di TCLBANKER ai contatti della vittima.
Il bot di Outlook si connette tramite l'automazione COM (Component Object Model). L'automazione COM consente a un programma di controllare un altro programma.
Il bot preleva gli indirizzi email dalla cartella Contatti e dalla cronologia della posta in arrivo, quindi invia email di phishing utilizzando l'account della vittima.
Le email hanno come oggetto "NFe disponível para impressão", che in italiano significa "Fattura elettronica disponibile per la stampa". Il link rimanda a un dominio di phishing che impersona una piattaforma ERP brasiliana.
Poiché le email vengono inviate da account reali, è più probabile che riescano a eludere i filtri antispam.
La scorsa settimana, Cryptopolitan ha riportato che i ricercatori hanno identificato quattro trojan per Android che prendono di mira oltre 800 app di criptovalute, bancarie e social media con false schermate di accesso.
In un altro rapporto , un malware chiamato StepDrainer ha svuotato portafogli su oltre 20 reti blockchain utilizzando false interfacce di connessione ai portafogli Web3.
Se desideri un approccio più tranquillo al mondo delle criptovalute DeFi , senza la solita frenesia, inizia con questo video gratuito.