TCLBANKER Kötü Amaçlı Yazılımı, Kendiliğinden Yayılan WhatsApp ve Outlook Solucan Modülleri Aracılığıyla Kullanıcıları Hedefliyor

REF3076 kampanyası kapsamında izlenen TCLBANKER adlı son derece sofistike bir Brezilya bankacılık truva atı olan bu kötü amaçlı yazılım, eski Maverick ve SORVEPOTEL ailelerine yönelik büyük bir güncellemeyi temsil ediyor. Sistemlere virüs bulaştırmak için sahte, imzalı bir Logitech yükleyicisi kullanması ve WhatsApp ve Microsoft Outlook aracılığıyla otomatik olarak yayılmasıyla öne çıkıyor. Saldırı, bir kullanıcı kötü amaçlı bir ZIP dosyası indirdiğinde başlar. Bu arşivin içinde, Logi AI Prompt Builder adlı gerçek, dijital olarak imzalanmış bir Logitech programını kötüye kullanan bir yükleyici bulunmaktadır. Kötü amaçlı bir DLL gösteren dosya dizini içerikleri (Kaynak: Elastik)

Bilgisayar korsanları, DLL yandan yükleme olarak bilinen bir teknik kullanarak, meşru Logitech uygulamasını normal sistem bileşenleri yerine kötü amaçlı bir dosya yüklemesi için kandırır. Etkinleştirildikten sonra, bu gizli yükleyici, saldırının sonraki aşamalarını hazırlamak için sistemin kontrolünü ele geçirir. TCLBANKER tarafından şifresi çözülen hedeflenen süreç adları (Kaynak: ELASTIC)

TCLBANKER, güvenlik araştırmacılarından saklanmak için özenle inşa edilmiştir. Paketi tamamen açmadan önce, bilgisayarın bir güvenlik kum havuzunda çalışıp çalışmadığını kontrol eder. Hata ayıklama araçlarını, sanal makineleri ve belirli virüsten koruma yazılımlarını arar. Ayrıca, mağdurun gerçekten Brezilya'da bulunduğundan emin olmak için sistem dilini ve saat dilimini de kontrol eder. Ortam gerçek bir Brezilyalı kullanıcıyla eşleşmiyorsa, yük, kötü amaçlı yazılımı otomatik güvenlik tarayıcılarından tamamen gizli tutarak şifresini çözmeyi reddeder. Şifreli banka/fintech/kripto alanları(Kaynak: Elastic)

TCLBANKER Kötü Amaçlı Yazılımı Kullanıcıları Hedefliyor

Kötü amaçlı yazılım gerçek bir kurbanın makinesinde olduğunu doğruladıktan sonra, ana bankacılık truva atını başlatır. Bu araç, kullanıcının hedeflenen 59 bankadan, finansal teknoloji platformlarından veya kripto para web sitelerinden birini ziyaret edip etmediğini tespit etmek için kullanıcının web tarayıcısını sürekli olarak izler. Bir eşleşme bulunduğunda, kötü amaçlı yazılım uzak bir sunucuya bağlanır. Truva atı, şifreleri çalmak için Microsoft'un Windows Presentation Foundation'ı ile oluşturulmuş tam ekran bindirmeleri kullanıyor.