O trojan TCLBANKER propaga-se através das próprias contas de mensagens das vítimas

Investigadores de segurança do Elastic Security Labs descobriram um novo trojan bancário brasileiro chamado TCLBANKER. Quando infeta uma máquina, assume o controlo das contas de WhatsApp e Outlook da vítima e envia mensagens de phishing aos seus contactos.

A campanha está identificada como REF3076. Com base em infraestruturas comuns e padrões de código, os investigadores associaram o TCLBANKER à família de malware anteriormente conhecida MAVERICK/SORVEPOTEL.

O trojan propaga-se através de um construtor de prompts de IA

O Elastic Security Labs afirma que o malware surge como um instalador trojanizado do Logi AI Prompt Builder, que é uma aplicação Logitech real e assinada. O instalador vem num ficheiro ZIP e utiliza DLL sideloading para executar um ficheiro malicioso que parece um plugin Flutter.

Uma vez carregado, o trojan implementa dois payloads protegidos pelo .NET Reactor. Um é um módulo bancário e o outro é um módulo worm desenvolvido para autopropagação.

Após o carregamento, o trojan implementa dois payloads protegidos pelo .NET Reactor. Um é um módulo bancário e o outro é um módulo worm capaz de se propagar autonomamente.

Verificações anti-análise bloqueiam investigadores

Existem três partes que compõem a impressão digital que o carregador do TCLBANKER constrói.

1. Verificações anti-depuração.
2. Informações de disco e memória.
3. Definições de idioma.

A impressão digital gera as chaves de descriptografia para o payload incorporado. Se algo parecer errado, como um depurador associado, um ambiente sandbox ou pouco espaço em disco, a descriptografia produz dados inúteis e o malware para silenciosamente.

O carregador também aplica patches às funções de telemetria do Windows para cegar as ferramentas de segurança. Cria trampolins de syscall diretos para evitar hooks no modo de utilizador.

Um watchdog está sempre à procura de software de análise como x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker e Frida. Se alguma destas ferramentas for detetada, o payload deixa de funcionar.

O módulo bancário ativa-se apenas em computadores brasileiros

O módulo bancário ativa-se em computadores localizados no Brasil. Existem no mínimo duas verificações de geofencing que analisam o código de região, o fuso horário, a configuração regional do sistema e o esquema de teclado.

O malware lê a barra de URL ativa do navegador utilizando a Automatização de IU do Windows. Funciona em vários navegadores como Chrome, Firefox, Edge, Brave, Opera e Vivaldi, e monitoriza o(s) URL(s) ativo(s) a cada segundo.

O malware compara então o URL com uma lista de 59 URLs encriptados. Esta lista contém ligações para sites de cripto, bancos e fintech no Brasil.

Quando uma vítima visita um dos sites visados, o malware abre um WebSocket para um servidor remoto. O hacker obtém então controlo remoto total do computador.

Uma vez concedido o acesso, o hacker utiliza uma sobreposição que coloca uma janela sem bordas, no topo de todos os monitores. A sobreposição não é visível nas capturas de ecrã e as vítimas não conseguem partilhar o que veem com outras pessoas.

A sobreposição do hacker tem três modelos:

• Um formulário de recolha de credenciais com um número de telefone brasileiro falso.
• Um ecrã de progresso falso de Atualização do Windows.
• Um "ecrã de espera de vishing" que mantém as vítimas ocupadas.

Bots maliciosos propagam o trojan brasileiro no WhatsApp e no Outlook

O segundo payload propaga o TCLBANKER a novas vítimas através de duas formas:

• Aplicação web do WhatsApp.
• Caixas de entrada/contas do Outlook.

O bot do WhatsApp procura sessões ativas do WhatsApp Web em navegadores Chromium, localizando os diretórios de bases de dados locais da aplicação.

O bot clona o perfil do navegador e lança uma instância do Chromium sem interface gráfica. "Um navegador sem interface gráfica é um navegador web sem interface gráfica de utilizador," segundo a Wikipedia. Em seguida, injeta JavaScript para contornar a deteção de bots e recolhe os contactos da vítima.

No final, o bot envia mensagens de phishing contendo o instalador do TCLBANKER aos contactos da vítima.

O bot do Outlook liga-se através da automatização do Component Object Model (COM). A automatização COM permite que um programa controle outro programa.

O bot obtém endereços de e-mail da pasta Contactos e do histórico da caixa de entrada e, em seguida, envia e-mails de phishing utilizando a conta da vítima.

Os e-mails têm o assunto "NFe disponível para impressão," que significa em inglês, "Electronic Invoice Available for Printing". Direciona para um domínio de phishing que se faz passar por uma plataforma ERP brasileira.

Uma vez que os e-mails são enviados a partir de contas reais, têm maior probabilidade de contornar os filtros de spam.

Na semana passada, o Cryptopolitan noticiou que investigadores identificaram quatro trojans Android dirigidos a mais de 800 aplicações de cripto, bancárias e de redes sociais com sobreposições falsas de início de sessão.

Noutro relatório, um malware chamado StepDrainer tem estado a esvaziar carteiras em mais de 20 redes blockchain utilizando interfaces falsas de ligação de carteiras Web3.

Se pretende uma entrada mais tranquila no universo DeFi cripto sem o habitual exagero, comece com este vídeo gratuito.