Троян TCLBanker, который, вероятно, был создан с применением искусственного интеллекта, пока что нацелен исключительно на пользователей из Бразилии. Но в прошлом вредоносные программы из Латинской Америки не раз увеличивали свою географию распространения.
Новый банковский троян TCLBanker распространяется по принципу «червя» через мессенджер WhatsApp* и почтовый клиент Outlook. Специалисты компании Elastic Security Labs, которые выявили эту угрозу, сообщают, что она способна поражать 59 банковских, финтех- и криптовалютных платформ. Примечательно, что для заражения систем вредонос также использует взломанный установщик (.msi) продукта Logitech AI Prompt Builder.
В компании Elastic новый троян относят к уже знакомому семейству MAVERICK/SORVEPOTEL, но подчеркивают, что TCLBanker представляет собой его следующую эволюционную ступень.
На текущий момент троян атакует пользователей только в Бразилии: он проверяет часовые пояса, раскладки клавиатуры и язык операционной системы.
Однако, как отмечают в Elastic, раньше вредоносные программы, которые сначала тестировались в Латинской Америке, часто расширяли сферу своего влияния, и вероятность того, что то же самое произойдет с TCLBanker, весьма велика.
Исследователи указывают, что вредонос обладает крайне эффективной защитой от средств анализа и отладки. Его модуль распаковки полезной нагрузки отказывается работать в изолированных средах; кроме того, он создает постоянный процесс, который отслеживает такие аналитические инструменты, как x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot и другие.
Попадая в систему, троян загружается в контексте легитимного приложения от Logitech (с помощью побочной загрузки DLL), поэтому антивирусы на него не реагируют.
«Банковский» модуль вредоноса каждую секунду проверяет содержимое адресной строки браузера, используя API автоматизации пользовательского интерфейса Windows. Если жертва открывает любой из 59 целевых ресурсов, троян немедленно устанавливает WebSocket-соединение с командным сервером, отправляет туда данные о системе жертвы и активирует режим удаленного управления.
Оператору вредоноса передается содержимое экрана, а также он может делать скриншоты, перехватывать нажатия клавиш и данные из буфера обмена. Кроме того, он способен запускать в системе жертвы Shell-оболочку и выполнять в ней команды, управлять окнами, получать доступ к файловой системе и брать под контроль мышь и клавиатуру жертвы.
Во время активной сессии процесс Диспетчера задач (Task Manager) Windows блокируется.
Для вывода данных TCLBanker использует WPF-оверлей, который может отображать на экране жертвы поддельные поля для ввода учетных данных, PIN-кода, формы для перехвата номера телефона, фальшивые страницы службы поддержки, мнимые обновления Windows и другие обманные страницы.
Также существуют оверлеи, которые перекрывают экран частично, оставляя видимой лишь часть оригинальных страниц или приложений.
Что касается возможностей «червя», то TCLBanker действительно может полностью самостоятельно распространяться, используя список контактов своей жертвы. Для этого вредоносная программа ищет базу данных WhatsApp* (WhatsApp* Web IndexedDB) в сохранённых учётных данных браузеров на основе Chromium, и, обнаружив её, запускает скрытую сессию, которая перехватывает контроль над профилем пользователя.
Из контактного списка отбираются только те номера, которые соответствуют бразильским телефонным кодам, — и по ним рассылается спам, заманивающий пользователей на сайты, с которых загружаются установщики TCLBanker.
Модуль для Microsoft Outlook использует COM-автоматизацию: он запускает клиентское приложение, собирает контакты и адреса отправителя, а затем отправляет фишинговые сообщения от имени жертвы.
Специалисты Elastic предполагают, что при разработке вредоноса применялся искусственный интеллект — на это указывают артефакты в коде. Кроме того, функциональность вредоноса весьма разнообразна, однако ни одна из её составляющих не достигает продвинутого уровня.
«В итоге, как справедливо отмечают в Elastic, эта программа предоставляет хакерам-любителям возможности, которые раньше встречались только в узкоспециализированных вредоносах более высокого ранга, чем TCLBanker, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Эти функции реализованы не на самом высоком уровне, но, вероятно, работают достаточно эффективно, хотя исследователям удалось успешно обойти меры защиты от отладки».
Эксперт добавил, что TCLBanker также служит доказательством того, что «черви», бывшие бичом начала 2000-х, снова становятся актуальной угрозой для кибербезопасности, пусть и не столь острой.
