TCLBANKERトロイの木馬は被害者自身のメッセージングアカウントを通じて拡散する

Elastic Security Labsのセキュリティ研究者が、TCLBANKERという名の新しいブラジル製バンキングトロイの木馬を発見しました。このマルウェアは感染したマシン上で被害者のWhatsAppとOutlookアカウントを乗っ取り、連絡先にフィッシングメッセージを送信します。

このキャンペーンはREF3076と呼ばれています。共通のインフラとコードパターンに基づき、研究者はTCLBANKERを以前から知られているマルウェアファミリーMAVERICK/SORVEPOTELと関連付けました。

AIプロンプトビルダーを通じて拡散するトロイの木馬

Elastic Security Labsによると、このマルウェアはLogi AI Prompt Builderのトロイの木馬化されたインストーラーとして配布されており、これは正規の署名済みLogitech製アプリです。インストーラーはZIPファイルとして提供され、DLLサイドローディングを使用してFlutterプラグインに見せかけた悪意あるファイルを実行します。

ロード後、このトロイの木馬は2つの.NET Reactorで保護されたペイロードを展開します。1つはバンキングモジュール、もう1つは自己拡散のために構築されたワームモジュールです。

ロード後、このトロイの木馬は2つの.NET Reactorで保護されたペイロードを展開します。1つはバンキングモジュール、もう1つは自己拡散できるワームモジュールです。

解析対策チェックが研究者をブロック

TCLBANKERのローダーが構築するフィンガープリントは3つの部分で構成されています。

1. アンチデバッグチェック。
2. ディスクおよびメモリ情報。
3. 言語設定。

このフィンガープリントが埋め込まれたペイロードの復号化キーを生成します。デバッガーのアタッチ、サンドボックス環境、ディスク容量不足など異常が検出された場合、復号化はゴミデータを生成し、マルウェアは静かに停止します。

ローダーはWindowsのテレメトリ機能にパッチを当てることでセキュリティツールを無効化します。また、ユーザーモードフックを回避するために直接syscallトランポリンを作成します。

ウォッチドッグが常にx64dbg、Ghidra、dnSpy、IDA Pro、Process Hacker、Fridaなどの解析ソフトウェアを監視しています。これらのツールのいずれかが検出された場合、ペイロードは動作を停止します。

バンキングモジュールはブラジルのコンピューターでのみ起動

バンキングモジュールはブラジルに所在するコンピューターで起動します。地域コード、タイムゾーン、システムロケール、キーボードレイアウトを確認する最低2つのジオフェンシングチェックが行われます。

マルウェアはWindows UIオートメーションを使用してアクティブなブラウザのURLバーを読み取ります。Chrome、Firefox、Edge、Brave、Opera、Vivaldiなど多くのブラウザに対応しており、毎秒アクティブなURLを監視します。

マルウェアはそのURLを59件の暗号化されたURLリストと照合します。このリストにはブラジルの暗号資産、銀行、フィンテック関連サイトへのリンクが含まれています。

被害者がターゲットとなるウェブサイトにアクセスすると、マルウェアはリモートサーバーへのWebSocketを開きます。ハッカーはその後、コンピューターを完全にリモートコントロールできるようになります。

アクセスが許可されると、ハッカーはすべてのモニターに枠なし・最前面ウィンドウを重ねるオーバーレイを使用します。このオーバーレイはスクリーンショットには表示されず、被害者は自分が見ているものを他人と共有できません。

ハッカーのオーバーレイには3つのテンプレートがあります：

• 偽のブラジルの電話番号を含む認証情報収集フォーム。
• 偽のWindows更新進行画面。
• 被害者を引き留める「ビッシング待機画面」。

悪意あるボットがWhatsAppとOutlookでブラジル製トロイの木馬を拡散

2つ目のペイロードは2つの方法でTCLBANKERを新たな被害者に拡散させます：

• WhatsApp Webアプリ。
• Outlookの受信トレイ／アカウント。

WhatsAppボットは、アプリのローカルデータベースディレクトリを特定することで、ChromiumブラウザのアクティブなWhatsApp Webセッションを探します。

ボットはブラウザプロファイルをクローンし、ヘッドレスChromiumインスタンスを起動します。Wikipediaによると、「ヘッドレスブラウザとはグラフィカルユーザーインターフェースのないウェブブラウザ」です。その後、JavaScriptを注入してボット検出を回避し、被害者の連絡先を収集します。

最終的に、ボットはTCLBANKERインストーラーを含むフィッシングメッセージを被害者の連絡先に送信します。

OutlookボットはComponent Object Model（COM）オートメーションを通じて接続します。COMオートメーションはあるプログラムが別のプログラムを制御することを可能にします。

ボットは連絡先フォルダーと受信トレイの履歴からメールアドレスを取得し、被害者のアカウントを使用してフィッシングメールを送信します。

メールの件名は「NFe disponível para impressão」で、英語では「Electronic Invoice Available for Printing（電子請求書が印刷可能です）」を意味します。ブラジルのERPプラットフォームを偽装したフィッシングドメインにリンクしています。

メールは実際のアカウントから送信されるため、スパムフィルターを回避しやすくなっています。

先週、Cryptopolitanは研究者が偽のログインオーバーレイを使用して800以上の暗号資産、銀行、ソーシャルメディアアプリを標的とする4つのAndroidトロイの木馬を特定したと報告しました。

別のレポートでは、StepDrainerと呼ばれるマルウェアが偽のWeb3ウォレット接続インターフェースを使用して20以上のブロックチェーンネットワークにまたがってウォレットから資産を流出させています。

通常の誇大宣伝なしにDeFi暗号資産への穏やかな入り口を求めているなら、この無料動画から始めてください。