夜雨聆风一种名为 TCLBanker 的新型木马程序,以 59 个银行、金融科技和加密货币平台为目标,利用被植入木马的 Logitech AI Prompt Builder MSI 安装程序来感染系统。
此外,该恶意软件还包含可自动传播的 WhatsApp 和 Outlook 蠕虫模块,能够自动感染新的受害者。
Elastic Security Labs 发现了这种新型银行木马,其研究人员认为它是早期 Maverick/Sorvepotel 恶意软件家族的重大演变。
虽然 TCLBanker 目前似乎主要针对巴西,特别是检查时区、键盘布局和语言区域,但拉丁美洲恶意软件过去曾进行过更新,以扩大其攻击范围,因此威胁扩散的风险是真实存在的。
TCLBanker 功能
Elastic 警告称,TCLBanker 具有极强的抗分析和调试能力,其有效载荷解密例程依赖于环境,在沙箱或分析师环境中会失效。
它还运行一个持久的监视线程,不断搜寻分析工具,如 x64dbg、IDA、dnSpy、Frida、ProcessHacker、Ghidra、de4dot 等。
该恶意软件通过 DLL 侧加载的方式加载到合法的 Logitech 应用程序的上下文中,因此不会触发保护受感染主机的安全产品的任何警报。
研究人员指出,虽然该加载器功能丰富,但没有一项功能真正称得上先进,而且代码痕迹表明,在其开发过程中可能使用了人工智能。
银行模块使用 Windows UI 自动化 API 每秒监控一次浏览器地址栏,监视受害者何时打开其 59 个目标平台之一的网站。
当这种情况发生时,它会与命令与控制 (C2) 服务器建立 WebSocket 会话,发送受害者和系统信息,并开始远程控制操作。
赋予操作员的权限包括:
- 实时屏幕串流
- 屏幕截图
- 键盘记录
- 剪贴板劫持
- 执行 Shell 命令
- 窗口管理
- 文件系统访问
- 进程枚举
- 远程鼠标/键盘控制
在活动会话期间,任务管理器进程会被终止,以防止中断并向受害者隐藏恶意活动。
为了支持数据窃取,TCLBanker 使用基于 WPF 的覆盖系统,可以向受害者推送虚假的凭据提示、PIN 码键盘、电话号码收集表单、虚假的“银行支持”等待屏幕、虚假的 Windows 更新屏幕和各种虚假的进度屏幕。
还有一种“镂空”叠加层,它会一直显示在最上面,只允许向受害者显示真实应用程序的特定部分,并遮盖其他部分。
WhatsApp 和 Outlook 蠕虫
TCLBanker 的一个有趣之处在于它能够自主地传播给与主要受害者有关联的联系人。
该恶意软件会搜索 Chromium 浏览器配置文件中的已验证 WhatsApp Web IndexedDB 数据,并启动一个隐藏的 Chromium 实例来劫持受害者的帐户。
然后,它会收集联系人信息,筛选出巴西号码,并从受害者的帐户向他们发送垃圾邮件,从而将他们引向 TCLBanker 分发平台。
另一个蠕虫模块通过 COM 自动化滥用 Microsoft Outlook,启动该应用程序,收集联系人和发件人地址,并通过受害者的电子邮件帐户发送网络钓鱼电子邮件。
