TCLBANKER恶意软件通过WhatsApp和Outlook传播

请点击上方蓝色的【#公众号信安社群#】微信公众号一键关注！

一款名为 TCLBANKER 的高度复杂的巴西银行木马，在活动 REF3076 下被追踪，该恶意软件代表了较老的 Maverick 和 SORVEPOTEL 家族的重大更新。

它之所以突出，是因为它使用了一个假冒的、签名的罗技安装程序来感染系统，并通过 WhatsApp 和 Microsoft Outlook 自动传播。

攻击始于用户下载恶意 ZIP 文件。在这个档案中，有一个安装程序滥用了真实的数字签名罗技程序——Logi AI Prompt Builder。

黑客利用一种称为 DLL 侧载的技术，欺骗正规罗技应用加载恶意文件，而非其正常系统组件。一旦启动，这个隐藏装填器就会接管系统，为下一阶段的攻击做准备。

TCLBANKER 经过精心设计，旨在躲避安全研究人员的发现。在完全解包之前，它会检查计算机是否运行在安全沙箱中。它会寻找调试工具 、虚拟机和特定的杀毒软件。

它还会检查系统语言和时区，确保受害者确实位于巴西。如果环境与真实巴西用户不匹配，载荷拒绝解密，使恶意软件完全隐藏于自动安全扫描器之外。

一旦恶意软件确认它在真实受害者的机器上，就会启动主要的银行木马。

该工具持续监控用户的网页浏览器，检测用户是否访问了59家目标银行、金融科技平台或加密货币网站。当发现匹配时，恶意软件会连接到远程服务器。

为了窃取密码，木马使用了 Microsoft 的 Windows Presentation Foundation 构建的全屏叠加层。这些叠加层覆盖整个屏幕，看起来就像真实的银行提示或官方 Windows 更新界面。

他们会冻结桌面，屏蔽 Windows 键或 Esc 等快捷键，并关闭屏幕捕捉工具，防止受害者记录欺诈过程。用户被迫直接在黑客的假屏幕上输入安全码或个人识别码。

TCLBANKER 之所以极其危险，是因为它能够自动传播。第一个蠕虫模块针对的是 WhatsApp Web。该恶意软件会扫描电脑中的浏览器，如 Chrome 或 Edge，并寻找活跃的 WhatsApp 账户。

恶意软件不会要求用户扫描新的二维码，而是秘密克隆保存的会话数据。然后它会打开一个隐藏的浏览器窗口，绕过机器人检测，直接向受害者的联系人发送钓鱼邮件和恶意软件文件。由于消息来自可信朋友，新的受害者很可能会下载该文件。

Elastic Security Labs 发现第二个蠕虫模块主要针对电子邮件。它会在后台静默打开 Microsoft Outlook，并利用 Windows COM 自动化完全控制受害者的邮箱账户。

机器人会搜索地址簿和收件箱以获取联系人。然后它会从感染用户的实际邮箱地址起草全新的钓鱼邮件。

这种技术很容易绕过标准的邮件安全过滤器，因为邮件来源是合法且可信的。

黑客还将恶意文件托管在 Cloudflare 上，使得下载链接在普通用户眼中看起来安全。

研究人员指出，该行动仍处于早期阶段，表明威胁行为者可能正在准备扩大其目标。

安全团队必须监控未经授权的浏览器配置文件克隆，并留意来自 Microsoft Outlook 的发件邮件异常激增。

利用先进的终端保护技术检测未授权的全屏覆盖层，对于保护系统免受这一不断演变的威胁至关重要。