🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os caçadores de ameaças sinalizaram um trojan bancário brasileiro anteriormente não documentado, chamado TCLBANKER, que é capaz de atingir 59 plataformas bancárias, fintech e criptomoedas.
A atividade está sendo rastreada pelo Elastic Security Labs sob o nome REF3076. A família de malware é avaliada como uma grande atualização do Maverick, que é conhecido por utilizar um worm chamado SORVEPOTEL para se espalhar via WhatsApp Web para os contatos da vítima. A campanha Maverick é atribuída a um grupo de ameaças que a Trend Micro chama de Water Saci.
No centro da cadeia de ataque está um carregador com recursos robustos de anti-análise que implanta dois módulos incorporados: um trojan bancário completo e um componente worm que usa o WhatsApp e o Microsoft Outlook para propagação.
“A cadeia de infecção observada agrupa um instalador MSI malicioso dentro de um arquivo ZIP”, disseram os pesquisadores de segurança Jia Yu Chan, Daniel Stepanic, Seth Goodwin e Terrance DeJesus. "Esses pacotes de instalação do MSI estão abusando de um programa assinado da Logitech chamado Logi AI Prompt Builder."
O malware aproveita o carregamento lateral de DLL contra o aplicativo para lançar uma DLL maliciosa ("screen_retriever_plugin.dll"), que funciona como um carregador com um "subsistema de vigilância abrangente" que fica continuamente atento a ferramentas de análise, sandboxes, depuradores, desmontadores, ferramentas de instrumentação e software antivírus para evitar a detecção.
Especificamente, a DLL maliciosa só será executada se tiver sido carregada por "logiaipromptbuilder.exe" (o programa da Logitech) ou "tclloader.exe" (provavelmente uma referência a um executável usado durante o teste). Ele também remove quaisquer ganchos de modo de usuário colocados pelo software de segurança de endpoint em "ntdll.dll", substituindo a biblioteca e desativando a telemetria de rastreamento de eventos para Windows (ETW).
Além do mais, o malware gera três impressões digitais com base em verificações antidepuração e antivirtualização, verificações de informações do disco do sistema e verificações de idioma, usando-as para criar um valor de hash de ambiente que é usado para descriptografar a carga incorporada. A verificação de idioma do sistema garante que o idioma padrão do usuário seja o português brasileiro.
“Por exemplo, se um depurador estiver presente, ele produzirá um hash incorreto, então quando o malware tentar derivar as chaves de descriptografia do hash, a carga útil não será descriptografada corretamente e o TCLBANKER irá parar de executar”, explicou Elastic.
O principal componente lançado após essas verificações é o trojan bancário que mais uma vez verifica se está sendo executado em um sistema brasileiro e, em seguida, estabelece persistência usando uma tarefa agendada. Posteriormente, ele é enviado para um servidor externo com uma solicitação HTTP POST contendo informações básicas do sistema.
O TCLBANKER também incorpora um mecanismo de autoatualização e um monitor de URL que extrai o URL atual da barra de endereços do navegador em primeiro plano usando UI Automation. Esta etapa tem como alvo navegadores populares como Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera e Vivaldi.
O URL extraído é comparado com uma lista codificada de instituições financeiras visadas. Se houver uma correspondência, ele estabelece uma conexão WebSocket com um servidor remoto e entra em um loop de despacho de comando, permitindo ao operador executar uma ampla gama de tarefas -
Execute comandos shell
Capturar capturas de tela
Iniciar/parar streaming de tela
Manipular área de transferência
Inicie um keylogger
Controle remotamente mouse/teclado
Gerencie arquivos e processos
Enumerar processos em execução
Listar janelas visíveis
Servir sobreposições falsas para roubo de credenciais
Para realizar o roubo de dados, o TCLBANKER depende de uma estrutura de sobreposição de tela cheia baseada no Windows Presentation Foundation (WPF) para conduzir engenharia social usando prompts de coleta de credenciais, telas de espera, barras de progresso falsas e atualizações falsas do Windows, tudo isso enquanto oculta sobreposições de ferramentas de captura de tela.
Paralelamente, o carregador invoca o módulo de worming para propagar o trojan por meio de mensagens de spam e phishing em grande escala. Ele emprega uma abordagem dupla que envolve um worm WhatsApp Web que sequestra sessões autenticadas do navegador e um bot de e-mail do Outlook que abusa do Microsoft Outlook para enviar e-mails falsos aos contatos da vítima.
Como no caso do SORVEPOTEL, o worm WhatsApp recupera um modelo de mensagens do servidor e aproveita o projeto de código aberto WPPConnect para automatizar o envio de mensagens para outros usuários, enquanto filtra grupos, transmissões e números não brasileiros.
O agente Outlook, por outro lado, é um spambot de e-mail que abusa do aplicativo Microsoft Outlook instalado pela vítima para enviar e-mails de phishing a partir do endereço de e-mail da vítima, contornando assim os filtros de spam e dando às mensagens uma ilusão de confiança.
“O TCLBANKER reflete um amadurecimento mais amplo acontecendo em todo o ecossistema de trojans bancários brasileiros”, concluiu a Elastic. "Técnicas que já foram a marca registrada de uma arte mais sofisticada
A atividade está sendo rastreada pelo Elastic Security Labs sob o nome REF3076. A família de malware é avaliada como uma grande atualização do Maverick, que é conhecido por utilizar um worm chamado SORVEPOTEL para se espalhar via WhatsApp Web para os contatos da vítima. A campanha Maverick é atribuída a um grupo de ameaças que a Trend Micro chama de Water Saci.
No centro da cadeia de ataque está um carregador com recursos robustos de anti-análise que implanta dois módulos incorporados: um trojan bancário completo e um componente worm que usa o WhatsApp e o Microsoft Outlook para propagação.
“A cadeia de infecção observada agrupa um instalador MSI malicioso dentro de um arquivo ZIP”, disseram os pesquisadores de segurança Jia Yu Chan, Daniel Stepanic, Seth Goodwin e Terrance DeJesus. "Esses pacotes de instalação do MSI estão abusando de um programa assinado da Logitech chamado Logi AI Prompt Builder."
O malware aproveita o carregamento lateral de DLL contra o aplicativo para lançar uma DLL maliciosa ("screen_retriever_plugin.dll"), que funciona como um carregador com um "subsistema de vigilância abrangente" que fica continuamente atento a ferramentas de análise, sandboxes, depuradores, desmontadores, ferramentas de instrumentação e software antivírus para evitar a detecção.
Especificamente, a DLL maliciosa só será executada se tiver sido carregada por "logiaipromptbuilder.exe" (o programa da Logitech) ou "tclloader.exe" (provavelmente uma referência a um executável usado durante o teste). Ele também remove quaisquer ganchos de modo de usuário colocados pelo software de segurança de endpoint em "ntdll.dll", substituindo a biblioteca e desativando a telemetria de rastreamento de eventos para Windows (ETW).
Além do mais, o malware gera três impressões digitais com base em verificações antidepuração e antivirtualização, verificações de informações do disco do sistema e verificações de idioma, usando-as para criar um valor de hash de ambiente que é usado para descriptografar a carga incorporada. A verificação de idioma do sistema garante que o idioma padrão do usuário seja o português brasileiro.
“Por exemplo, se um depurador estiver presente, ele produzirá um hash incorreto, então quando o malware tentar derivar as chaves de descriptografia do hash, a carga útil não será descriptografada corretamente e o TCLBANKER irá parar de executar”, explicou Elastic.
O principal componente lançado após essas verificações é o trojan bancário que mais uma vez verifica se está sendo executado em um sistema brasileiro e, em seguida, estabelece persistência usando uma tarefa agendada. Posteriormente, ele é enviado para um servidor externo com uma solicitação HTTP POST contendo informações básicas do sistema.
O TCLBANKER também incorpora um mecanismo de autoatualização e um monitor de URL que extrai o URL atual da barra de endereços do navegador em primeiro plano usando UI Automation. Esta etapa tem como alvo navegadores populares como Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera e Vivaldi.
O URL extraído é comparado com uma lista codificada de instituições financeiras visadas. Se houver uma correspondência, ele estabelece uma conexão WebSocket com um servidor remoto e entra em um loop de despacho de comando, permitindo ao operador executar uma ampla gama de tarefas -
Execute comandos shell
Capturar capturas de tela
Iniciar/parar streaming de tela
Manipular área de transferência
Inicie um keylogger
Controle remotamente mouse/teclado
Gerencie arquivos e processos
Enumerar processos em execução
Listar janelas visíveis
Servir sobreposições falsas para roubo de credenciais
Para realizar o roubo de dados, o TCLBANKER depende de uma estrutura de sobreposição de tela cheia baseada no Windows Presentation Foundation (WPF) para conduzir engenharia social usando prompts de coleta de credenciais, telas de espera, barras de progresso falsas e atualizações falsas do Windows, tudo isso enquanto oculta sobreposições de ferramentas de captura de tela.
Paralelamente, o carregador invoca o módulo de worming para propagar o trojan por meio de mensagens de spam e phishing em grande escala. Ele emprega uma abordagem dupla que envolve um worm WhatsApp Web que sequestra sessões autenticadas do navegador e um bot de e-mail do Outlook que abusa do Microsoft Outlook para enviar e-mails falsos aos contatos da vítima.
Como no caso do SORVEPOTEL, o worm WhatsApp recupera um modelo de mensagens do servidor e aproveita o projeto de código aberto WPPConnect para automatizar o envio de mensagens para outros usuários, enquanto filtra grupos, transmissões e números não brasileiros.
O agente Outlook, por outro lado, é um spambot de e-mail que abusa do aplicativo Microsoft Outlook instalado pela vítima para enviar e-mails de phishing a partir do endereço de e-mail da vítima, contornando assim os filtros de spam e dando às mensagens uma ilusão de confiança.
“O TCLBANKER reflete um amadurecimento mais amplo acontecendo em todo o ecossistema de trojans bancários brasileiros”, concluiu a Elastic. "Técnicas que já foram a marca registrada de uma arte mais sofisticada
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #trojan #bancário #tclbanker #tem #como #alvo #plataformas #financeiras #via #whatsapp #e #outlook #worms
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário