Sebuah trojan baru bernama TCLBanker, yang menargetkan 59 platform perbankan, fintech, dan mata uang kripto, menggunakan penginstal MSI yang telah di trojan untuk Logitech AI Prompt Builder untuk menginfeksi sistem.
Selain itu, malware tersebut mencakup modul worm yang menyebar sendiri untuk WhatsApp dan Outlook yang secara otomatis menginfeksi korban baru.
Trojan perbankan baru adalah ditemukan oleh Elastic Security Labsyang menurut para peneliti merupakan evolusi besar dari keluarga malware Maverick/Sorvepotel yang lebih tua.
Meskipun TCLBanker saat ini tampak fokus di Brasil, khususnya memeriksa zona waktu, tata letak keyboard, dan lokal, malware LATAM, di masa lalu, telah diperbarui menjadi memperluas cakupan sasarannyasehingga risiko perluasan ancaman adalah nyata.
Kemampuan TCLBanker
Elastic memperingatkan bahwa TCLBanker terlindungi dengan sangat baik dari analisis dan debugging, menampilkan rutinitas dekripsi muatan yang bergantung pada lingkungan yang gagal di lingkungan sandbox atau analis.
Ia juga menjalankan thread pengawas persisten yang terus mencari alat analisis seperti x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot, dan lainnya.
Sumber: Elastis
Malware dimuat dalam konteks aplikasi Logitech yang sah melalui side-loading DLL, sehingga tidak akan memicu alarm apa pun dari produk keamanan yang melindungi host yang terinfeksi.
Para peneliti mencatat bahwa, meskipun loader ini kaya akan fitur, tidak ada yang benar-benar canggih, dan artefak kode menunjukkan bahwa AI mungkin telah digunakan dalam pengembangannya.
Modul perbankan memantau bilah alamat browser setiap detik menggunakan API Otomatisasi UI Windows, mengawasi kapan korban membuka situs web salah satu dari 59 platform yang ditargetkan.
Ketika hal ini terjadi, ia membuat sesi WebSocket dengan perintah dan kontrol (C2), mengirimkan informasi korban dan sistem, dan memulai operasi kendali jarak jauh.
Kemampuan yang diberikan kepada operator antara lain:
- Streaming layar langsung
- Pengambilan tangkapan layar
- Keylogging
- Pembajakan papan klip
- Eksekusi perintah shell
- Manajemen jendela
- Akses sistem file
- Proses enumerasi
- Kontrol mouse/keyboard jarak jauh
Selama sesi aktif, proses Task Manager dimatikan untuk mencegah gangguan dan menyembunyikan aktivitas jahat dari korban.
Untuk mendukung pencurian data, TCLBanker menggunakan sistem overlay berbasis WPF yang dapat memberikan permintaan kredensial palsu kepada korban, papan tombol PIN, formulir pengumpulan nomor telepon, layar tunggu “dukungan bank” palsu, layar Pembaruan Windows palsu, dan berbagai layar kemajuan palsu.
Ada juga overlay “cutout” yang tetap berada di atas, sehingga hanya bagian tertentu dari aplikasi nyata yang dapat ditampilkan kepada korban, dan menutupi bagian lainnya.
Sumber: Elastis
Cacing WhatsApp dan Outlook
Aspek menarik dari TCLBanker adalah kemampuannya untuk menyebar secara mandiri ke kontak yang terkait dengan korban utama.
Malware mencari profil browser Chromium untuk data WhatsApp Web IndexedDB yang diautentikasi, dan meluncurkan instance Chromium tersembunyi yang membajak akun korban.
Sumber: Elastis
Kemudian, ia mengumpulkan kontak, memfilter nomor Brasil, dan mengirimi mereka pesan spam dari akun korban, mengarahkan mereka ke platform distribusi TCLBanker.
Modul worm lainnya menyalahgunakan Microsoft Outlook melalui otomatisasi COM, meluncurkan aplikasi, mengambil kontak dan alamat pengirim, dan mengirimkan email phishing melalui akun email korban.
Sumber: Elastis
Elastic menyimpulkan bahwa TCLBanker adalah contoh karakteristik dari evolusi malware LATAM, yang menawarkan fitur penjahat dunia maya tingkat rendah yang dulunya hanya tersedia di alat yang sangat canggih.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
