📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo trojan chamado TCLBanker, que tem como alvo 59 plataformas bancárias, fintech e criptomoedas, usa um instalador MSI trojanizado para Logitech AI Prompt Builder para infectar sistemas.
Além disso, o malware inclui módulos de worm autopropagáveis para WhatsApp e Outlook que infectam automaticamente novas vítimas.
O novo trojan bancário foi descoberto pelo Elastic Security Labs, cujos pesquisadores acreditam que é uma grande evolução da antiga família de malware Maverick/Sorvepotel.
Embora o TCLBanker atualmente pareça focado no Brasil, verificando especificamente o fuso horário, o layout do teclado e a localidade, o malware LATAM foi, no passado, atualizado para ampliar seu escopo de segmentação, portanto, o risco de expansão da ameaça é real.
Capacidades do TCLBanker
A Elastic alerta que o TCLBanker está extremamente bem protegido contra análise e depuração, apresentando rotinas de descriptografia de carga útil dependentes do ambiente que falham em sandboxes ou ambientes de analistas.
Ele também executa um thread de vigilância persistente que busca continuamente ferramentas de análise como x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot e outras.
Monitoramento de processos direcionadosFonte: Elastic
O malware é carregado no contexto do aplicativo legítimo da Logitech por meio de carregamento lateral de DLL, portanto, não acionará nenhum alarme de produtos de segurança que protegem o host infectado.
Os pesquisadores observaram que, embora o carregador seja rico em recursos, nenhum vai muito longe para ser verdadeiramente avançado, e artefatos de código indicam que a IA pode ter sido usada em seu desenvolvimento.
O módulo bancário monitora a barra de endereços do navegador a cada segundo usando APIs de automação de interface do usuário do Windows, observando quando a vítima abre um site de uma de suas 59 plataformas alvo.
Quando isso acontece, ele estabelece uma sessão WebSocket com comando e controle (C2), envia informações da vítima e do sistema e inicia operações de controle remoto.
As capacidades dadas aos operadores incluem:
Transmissão de tela ao vivo
Captura de tela
Registro de teclas
Sequestro de área de transferência
Execução de comando shell
Gerenciamento de janelas
Acesso ao sistema de arquivos
Enumeração de processos
Controle remoto de mouse/teclado
Durante as sessões ativas, o processo do Gerenciador de Tarefas é eliminado para evitar interrupções e ocultar a atividade maliciosa da vítima.
Para suportar o roubo de dados, o TCLBanker usa um sistema de sobreposição baseado em WPF que pode enviar às vítimas avisos de credenciais falsas, teclados PIN, formulários de coleta de números de telefone, telas falsas de espera de “suporte bancário”, telas falsas do Windows Update e várias telas falsas de progresso.
Há também sobreposições “recortadas” que ficam no topo, permitindo que apenas partes selecionadas de aplicativos reais sejam mostradas à vítima, e mascarando outras partes.
Gerando uma sobreposição falsa de atualização do WindowsFonte: Elastic
Worms do WhatsApp e do Outlook
Um aspecto interessante do TCLBanker é a sua capacidade de se propagar de forma autónoma para contactos ligados à vítima principal.
O malware pesquisa perfis do navegador Chromium em busca de dados autenticados do WhatsApp Web IndexedDB e lança uma instância oculta do Chromium que sequestra a conta da vítima.
Sequestro de contas do WhatsAppFonte: Elastic
Em seguida, ele coleta contatos, filtra números brasileiros e envia mensagens de spam da conta da vítima, levando-os às plataformas de distribuição do TCLBanker.
Outro módulo de worm abusa do Microsoft Outlook por meio da automação COM, iniciando o aplicativo, coletando contatos e endereços de remetentes e enviando e-mails de phishing por meio da conta de e-mail da vítima.
Coletando contatos do OutlookFonte: Elastic
A Elastic conclui que o TCLBanker é um exemplo característico da evolução do malware LATAM, oferecendo aos cibercriminosos recursos de nível inferior que antes estavam disponíveis apenas em ferramentas altamente sofisticadas.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
Além disso, o malware inclui módulos de worm autopropagáveis para WhatsApp e Outlook que infectam automaticamente novas vítimas.
O novo trojan bancário foi descoberto pelo Elastic Security Labs, cujos pesquisadores acreditam que é uma grande evolução da antiga família de malware Maverick/Sorvepotel.
Embora o TCLBanker atualmente pareça focado no Brasil, verificando especificamente o fuso horário, o layout do teclado e a localidade, o malware LATAM foi, no passado, atualizado para ampliar seu escopo de segmentação, portanto, o risco de expansão da ameaça é real.
Capacidades do TCLBanker
A Elastic alerta que o TCLBanker está extremamente bem protegido contra análise e depuração, apresentando rotinas de descriptografia de carga útil dependentes do ambiente que falham em sandboxes ou ambientes de analistas.
Ele também executa um thread de vigilância persistente que busca continuamente ferramentas de análise como x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot e outras.
Monitoramento de processos direcionadosFonte: Elastic
O malware é carregado no contexto do aplicativo legítimo da Logitech por meio de carregamento lateral de DLL, portanto, não acionará nenhum alarme de produtos de segurança que protegem o host infectado.
Os pesquisadores observaram que, embora o carregador seja rico em recursos, nenhum vai muito longe para ser verdadeiramente avançado, e artefatos de código indicam que a IA pode ter sido usada em seu desenvolvimento.
O módulo bancário monitora a barra de endereços do navegador a cada segundo usando APIs de automação de interface do usuário do Windows, observando quando a vítima abre um site de uma de suas 59 plataformas alvo.
Quando isso acontece, ele estabelece uma sessão WebSocket com comando e controle (C2), envia informações da vítima e do sistema e inicia operações de controle remoto.
As capacidades dadas aos operadores incluem:
Transmissão de tela ao vivo
Captura de tela
Registro de teclas
Sequestro de área de transferência
Execução de comando shell
Gerenciamento de janelas
Acesso ao sistema de arquivos
Enumeração de processos
Controle remoto de mouse/teclado
Durante as sessões ativas, o processo do Gerenciador de Tarefas é eliminado para evitar interrupções e ocultar a atividade maliciosa da vítima.
Para suportar o roubo de dados, o TCLBanker usa um sistema de sobreposição baseado em WPF que pode enviar às vítimas avisos de credenciais falsas, teclados PIN, formulários de coleta de números de telefone, telas falsas de espera de “suporte bancário”, telas falsas do Windows Update e várias telas falsas de progresso.
Há também sobreposições “recortadas” que ficam no topo, permitindo que apenas partes selecionadas de aplicativos reais sejam mostradas à vítima, e mascarando outras partes.
Gerando uma sobreposição falsa de atualização do WindowsFonte: Elastic
Worms do WhatsApp e do Outlook
Um aspecto interessante do TCLBanker é a sua capacidade de se propagar de forma autónoma para contactos ligados à vítima principal.
O malware pesquisa perfis do navegador Chromium em busca de dados autenticados do WhatsApp Web IndexedDB e lança uma instância oculta do Chromium que sequestra a conta da vítima.
Sequestro de contas do WhatsAppFonte: Elastic
Em seguida, ele coleta contatos, filtra números brasileiros e envia mensagens de spam da conta da vítima, levando-os às plataformas de distribuição do TCLBanker.
Outro módulo de worm abusa do Microsoft Outlook por meio da automação COM, iniciando o aplicativo, coletando contatos e endereços de remetentes e enviando e-mails de phishing por meio da conta de e-mail da vítima.
Coletando contatos do OutlookFonte: Elastic
A Elastic conclui que o TCLBanker é um exemplo característico da evolução do malware LATAM, oferecendo aos cibercriminosos recursos de nível inferior que antes estavam disponíveis apenas em ferramentas altamente sofisticadas.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #novo #malware #tclbanker #se #espalha #pelo #whatsapp #e #outlook
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário