Scroll untuk baca artikel
Networking

Malware TCLBanker baru menyebar sendiri melalui WhatsApp dan Outlook

23
×

Malware TCLBanker baru menyebar sendiri melalui WhatsApp dan Outlook

Share this article
malware-tclbanker-baru-menyebar-sendiri-melalui-whatsapp-dan-outlook
Malware TCLBanker baru menyebar sendiri melalui WhatsApp dan Outlook

Malware TCLBanker baru menyebar sendiri melalui WhatsApp dan Outlook

Sebuah trojan baru bernama TCLBanker, yang menargetkan 59 platform perbankan, fintech, dan mata uang kripto, menggunakan penginstal MSI yang telah di trojan untuk Logitech AI Prompt Builder untuk menginfeksi sistem.

Example 300x600

Selain itu, malware tersebut mencakup modul worm yang menyebar sendiri untuk WhatsApp dan Outlook yang secara otomatis menginfeksi korban baru.

Trojan perbankan baru adalah ditemukan oleh Elastic Security Labsyang menurut para peneliti merupakan evolusi besar dari keluarga malware Maverick/Sorvepotel yang lebih tua.

Meskipun TCLBanker saat ini tampak fokus di Brasil, khususnya memeriksa zona waktu, tata letak keyboard, dan lokal, malware LATAM, di masa lalu, telah diperbarui menjadi memperluas cakupan sasarannyasehingga risiko perluasan ancaman adalah nyata.

Kemampuan TCLBanker

Elastic memperingatkan bahwa TCLBanker terlindungi dengan sangat baik dari analisis dan debugging, menampilkan rutinitas dekripsi muatan yang bergantung pada lingkungan yang gagal di lingkungan sandbox atau analis.

Ia juga menjalankan thread pengawas persisten yang terus mencari alat analisis seperti x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot, dan lainnya.

Pemantauan untuk proses yang ditargetkan
Pemantauan untuk proses yang ditargetkan
Sumber: Elastis

Malware dimuat dalam konteks aplikasi Logitech yang sah melalui side-loading DLL, sehingga tidak akan memicu alarm apa pun dari produk keamanan yang melindungi host yang terinfeksi.

Para peneliti mencatat bahwa, meskipun loader ini kaya akan fitur, tidak ada yang benar-benar canggih, dan artefak kode menunjukkan bahwa AI mungkin telah digunakan dalam pengembangannya.

Modul perbankan memantau bilah alamat browser setiap detik menggunakan API Otomatisasi UI Windows, mengawasi kapan korban membuka situs web salah satu dari 59 platform yang ditargetkan.

Ketika hal ini terjadi, ia membuat sesi WebSocket dengan perintah dan kontrol (C2), mengirimkan informasi korban dan sistem, dan memulai operasi kendali jarak jauh.

Kemampuan yang diberikan kepada operator antara lain:

  • Streaming layar langsung
  • Pengambilan tangkapan layar
  • Keylogging
  • Pembajakan papan klip
  • Eksekusi perintah shell
  • Manajemen jendela
  • Akses sistem file
  • Proses enumerasi
  • Kontrol mouse/keyboard jarak jauh

Selama sesi aktif, proses Task Manager dimatikan untuk mencegah gangguan dan menyembunyikan aktivitas jahat dari korban.

Untuk mendukung pencurian data, TCLBanker menggunakan sistem overlay berbasis WPF yang dapat memberikan permintaan kredensial palsu kepada korban, papan tombol PIN, formulir pengumpulan nomor telepon, layar tunggu “dukungan bank” palsu, layar Pembaruan Windows palsu, dan berbagai layar kemajuan palsu.

Ada juga overlay “cutout” yang tetap berada di atas, sehingga hanya bagian tertentu dari aplikasi nyata yang dapat ditampilkan kepada korban, dan menutupi bagian lainnya.

Hamparan pembaruan Windows palsu
Menghasilkan overlay pembaruan Windows palsu
Sumber: Elastis

Cacing WhatsApp dan Outlook

Aspek menarik dari TCLBanker adalah kemampuannya untuk menyebar secara mandiri ke kontak yang terkait dengan korban utama.

Malware mencari profil browser Chromium untuk data WhatsApp Web IndexedDB yang diautentikasi, dan meluncurkan instance Chromium tersembunyi yang membajak akun korban.

Membajak akun WhatsApp
Membajak akun WhatsApp
Sumber: Elastis

Kemudian, ia mengumpulkan kontak, memfilter nomor Brasil, dan mengirimi mereka pesan spam dari akun korban, mengarahkan mereka ke platform distribusi TCLBanker.

Modul worm lainnya menyalahgunakan Microsoft Outlook melalui otomatisasi COM, meluncurkan aplikasi, mengambil kontak dan alamat pengirim, dan mengirimkan email phishing melalui akun email korban.

Memanen kontak Outlook
Memanen kontak Outlook
Sumber: Elastis

Elastic menyimpulkan bahwa TCLBanker adalah contoh karakteristik dari evolusi malware LATAM, yang menawarkan fitur penjahat dunia maya tingkat rendah yang dulunya hanya tersedia di alat yang sangat canggih.

gambar artikel

99% Mitos yang Ditemukan Masih Belum Ditambal.

AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.

Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.

Klaim Tempat Anda