夜雨聆风导 读
Elastic Security Labs 将 TCLBANKER 识别为 REF3076,这是拉丁美洲银行恶意软件的一个重大发展。除了凭证窃取、远程会话控制和类似蠕虫的传播外,它还与较早的 Maverick 和 SORVEPOTEL 恶意软件家族有关,但具有更复杂的隐身和自我分发功能。
该木马程序通过隐藏在恶意 ZIP 压缩包中的、被篡改的 Logitech AI Prompt Builder MSI 安装程序进行传播,并通过被入侵的 WhatsApp 和 Microsoft Outlook 帐户扩散。
TCLBANKER 不仅采用了广泛的反分析保护措施来绕过沙箱、调试工具和安全监控系统,还以 59 家巴西银行、金融科技和加密货币平台为攻击目标。
研究表明,虽然该攻击活动目前主要针对巴西,通过区域设置验证和键盘布局验证进行攻击,但其模块化架构使其未来能够扩展到更广泛的国际范围。研究人员发现,恶意库“screen_retriever_plugin.dll”是通过DLL侧加载的方式,经由合法的罗技应用程序执行的。
该恶意软件仅在被诸如“logiaipromptbuilder.exe”之类的已批准可执行文件加载时才会激活,从而能够融入受信任的进程并逃避检测。其加载器中包含监视子系统,会持续搜索调试器、沙箱、反病毒引擎和取证分析工具。此外,它还会移除“ntdll.dll”中的用户模式钩子并禁用Windows事件跟踪(ETW)遥测功能,从而损害终端监控的可见性。
TCLBANKER 软件在解密有效载荷之前,会执行多项反调试、反虚拟化、磁盘和语言检查,从而生成特定于环境的哈希值。如果检测到事件分析条件,则会故意禁用有效载荷的解密,以防止其在沙箱中执行。
验证通过后,恶意软件通过计划任务建立持久性,并使用包含系统信息的 HTTP POST 请求与外部命令和控制基础设施通信。
研究人员在研究过程中发现,TCLBANKER 并非完全依赖于凭证窃取,而是作为一个交互式远程入侵平台运行,能够长时间访问受感染的系统。
除了实时监控用户行为外,攻击者还可以直接操纵银行会话,绕过传统的欺诈检测机制(这些机制会检测自动交易),从而绕过传统的欺诈检测机制。由于该恶意软件的大部分活动都在内存中执行,并且磁盘上留下的痕迹有限,因此更容易被传统的防病毒软件和终端监控程序检测到。
借助 TCLBANKER,攻击者可以执行多种远程欺诈功能,包括屏幕截图、实时会话监控、剪贴板拦截、键盘记录和直接执行 shell 命令。
在进行欺诈活动期间,恶意软件会阻止 Alt+F4、Esc、PrintScreen 和 Windows 键等快捷键的使用,并反复终止任务管理器进程,以防止用户干预。此外,蠕虫还利用 WDA_EXCLUDEFROMCAPTURE 标志来隐藏恶意叠加层,使其无法被屏幕录制工具识别。
TCLBANKER 还包含两个蠕虫模块 Tcl.WppBot 和 Tcl.WppBot,它们通过 WhatsApp Web 和 Microsoft Outlook 传播。该恶意软件通过已认证的 WhatsApp 会话向受害者联系人发送钓鱼链接,并利用 Outlook COM 自动化功能,使用可信通信渠道从合法用户帐户分发恶意电子邮件,从而显著提高感染成功率。
TCLBANKER 会监控 Chrome、Firefox、Edge、Brave、Opera 和 Vivaldi 等浏览器的活动,并专门针对 59 家巴西金融科技、银行和加密货币服务商。
该恶意软件在运行过程中,通过名为“RuntimeOptimizeService”的隐藏定时任务维持持久性,同时监控虚拟化平台、调试工具和沙箱环境,以保持其隐蔽性。
研究人员强调TCLBANKER滥用可信通信环境所带来的操作优势。该恶意软件利用被盗用的用户帐户,通过现有的个人和企业关系传播恶意内容。
这使得社会工程攻击的成功率显著提高,因为收件人更有可能信任来自可信来源的链接或附件。使用 WhatsApp Web 和 Microsoft Outlook 还可以让攻击活动在不依赖攻击者控制的基础设施的情况下传播,而这些基础设施原本可能会被屏蔽或列入黑名单。
分析人士认为,这种传播策略代表了恶意软件传播操作的演变,因为攻击者越来越多地利用合法平台和经过身份验证的会话来绕过垃圾邮件过滤技术、基于信誉的检测系统和用户怀疑,以及绕过电子邮件过滤技术。
TCLBANKER 利用用户对知名品牌的信任,将恶意组件嵌入到正版罗技软件中,从而降低安装过程中被立即检测到的可能性。
此类 DLL 侧加载技术仍然特别有效,是因为它们利用的是合法的应用程序行为,而不是利用漏洞。由于结合了签名软件滥用、环境感知型有效载荷激活和内存驻留执行等技术,这种恶意软件比传统的银行木马更难被取证。
分析人士认为,随着网络犯罪团伙不断采用隐蔽性更强的入侵技术来提高持久性并降低防御系统对受感染环境的可见性,这些方法在未来的金融恶意软件攻击中很可能会继续被使用。
TCLBANKER 结合了可信软件滥用、高级防御规避和自我传播的分发方式,打造了一个高度适应性的金融威胁平台。虽然该恶意软件目前的行动主要针对巴西金融用户,研究人员警告说,其模块化架构和隐蔽性架构未来可能会使其攻击范围扩大到全球范围。
技术报告:
《TCLBANKER:巴西银行木马通过 WhatsApp 和 Outlook 传播》
https://www.elastic.co/security-labs/tclbanker-brazilian-banking-trojan
新闻链接:
https://www.cysecurity.news/2026/05/tclbanker-threat-actors-intensify.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
