Trojan TCLBANKER menyebar melalui akun pesan korban sendiri

Para peneliti keamanan dari Elastic Security Labs telah menemukan trojan perbankan Brasil baru bernama TCLBANKER. Ketika menginfeksi sebuah mesin, trojan ini mengambil alih akun WhatsApp dan Outlook korban serta mengirimkan pesan phishing ke kontak mereka.

Kampanye ini diberi label REF3076. Berdasarkan infrastruktur dan pola kode yang sama, para peneliti telah mengaitkan TCLBANKER dengan keluarga malware yang sebelumnya dikenal, yaitu MAVERICK/SORVEPOTEL.

Trojan menyebar melalui AI prompt builder

Elastic Security Labs menyatakan bahwa malware ini hadir sebagai installer yang telah di-trojanisasi untuk Logi AI Prompt Builder, yang merupakan aplikasi Logitech asli yang telah ditandatangani. Installer tersebut hadir dalam file ZIP dan menggunakan DLL sideloading untuk menjalankan file berbahaya yang tampak seperti plugin Flutter.

Setelah dimuat, trojan ini menerapkan dua payload yang dilindungi .NET Reactor. Satu adalah modul perbankan dan yang lainnya adalah modul worm yang dibuat untuk penyebaran diri.

Setelah dimuat, trojan ini menerapkan dua payload yang dilindungi .NET Reactor. Satu adalah modul perbankan, dan yang lainnya adalah modul worm yang dapat menyebar sendiri.

Pemeriksaan anti-analisis memblokir para peneliti

Ada tiga bagian yang membentuk fingerprint yang dibangun oleh loader TCLBANKER.

1. Pemeriksaan anti-debugging.
2. Informasi disk dan memori.
3. Pengaturan bahasa.

Fingerprint tersebut menghasilkan kunci dekripsi untuk payload yang tertanam. Jika ada sesuatu yang tampak tidak beres, seperti debugger yang terpasang, lingkungan sandbox, atau ruang disk yang rendah, dekripsi menghasilkan data sampah, dan malware berhenti secara diam-diam.

Loader ini juga menambal fungsi telemetri Windows untuk membutakan alat keamanan. Loader ini membuat syscall trampoline langsung untuk menghindari hook mode pengguna.

Sebuah watchdog selalu mencari perangkat lunak analisis seperti x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker, dan Frida. Jika salah satu dari alat ini ditemukan, payload berhenti bekerja.

Modul perbankan hanya aktif di komputer Brasil

Modul perbankan aktif di komputer yang berlokasi di Brasil. Ada minimal dua pemeriksaan geofencing yang melihat kode wilayah, zona waktu, lokal sistem, dan tata letak keyboard.

Malware membaca bilah URL browser aktif menggunakan Windows UI Automation. Malware ini bekerja di berbagai browser seperti Chrome, Firefox, Edge, Brave, Opera, dan Vivaldi, serta memantau URL aktif setiap detik.

Malware kemudian mencocokkan URL dengan daftar 59 URL terenkripsi. Daftar ini berisi tautan ke situs web kripto, bank, dan fintech di Brasil.

Ketika korban mengunjungi salah satu situs web yang ditargetkan, malware membuka WebSocket ke server jarak jauh. Peretas kemudian mendapatkan kendali penuh jarak jauh atas komputer tersebut.

Setelah akses diberikan, peretas menggunakan overlay yang menempatkan jendela tanpa batas, paling atas di setiap monitor. Overlay tersebut tidak terlihat dalam tangkapan layar, dan korban tidak dapat berbagi apa yang mereka lihat kepada orang lain.

Overlay peretas memiliki tiga template:

• Formulir pemanenan kredensial dengan nomor telepon Brasil palsu.
• Layar kemajuan Pembaruan Windows palsu.
• Sebuah "layar tunggu vishing" yang membuat korban sibuk.

Bot berbahaya menyebarkan trojan Brasil di WhatsApp dan Outlook

Payload kedua menyebarkan TCLBANKER ke korban baru melalui dua cara:

• Aplikasi web WhatsApp.
• Kotak masuk/akun Outlook.

Bot WhatsApp mencari sesi WhatsApp Web aktif di browser Chromium dengan menemukan direktori database lokal aplikasi tersebut.

Bot mengkloning profil browser, kemudian meluncurkan instance Chromium tanpa antarmuka. "Browser tanpa antarmuka adalah browser web tanpa antarmuka pengguna grafis," menurut Wikipedia. Kemudian bot menyuntikkan JavaScript untuk melewati deteksi bot dan memanen kontak korban.

Pada akhirnya, bot mengirimkan pesan phishing yang berisi installer TCLBANKER ke kontak korban.

Bot Outlook terhubung melalui otomasi Component Object Model (COM). Otomasi COM memungkinkan sebuah program mengendalikan program lain.

Bot mengambil alamat email dari folder Kontak dan riwayat kotak masuk, kemudian mengirimkan email phishing menggunakan akun korban.

Email tersebut memiliki baris subjek "NFe disponível para impressão," yang berarti dalam bahasa Inggris, "Electronic Invoice Available for Printing". Email ini tertaut ke domain phishing yang menyamar sebagai platform ERP Brasil.

Karena email dikirim dari akun nyata, email tersebut lebih mungkin untuk melewati filter spam.

Minggu lalu, Cryptopolitan melaporkan bahwa para peneliti mengidentifikasi empat trojan Android yang menargetkan lebih dari 800 aplikasi kripto, perbankan, dan media sosial dengan overlay login palsu.

Dalam laporan lain, sebuah malware bernama StepDrainer telah menguras dompet di lebih dari 20 jaringan blockchain menggunakan antarmuka koneksi dompet Web3 palsu.

Jika Anda menginginkan titik masuk yang lebih tenang ke DeFi kripto tanpa hype biasa, mulailah dengan video gratis ini.