Los cazadores de amenazas detectaron un troyano bancario brasileño previamente indocumentado llamado TCLBANKER. Este troyano puede atacar 59 plataformas bancarias, fintech y de criptomonedas.
Esta actividad es rastreada por Elastic Security Labs bajo el nombre REF3076. Esta familia de malware está clasificada como una actualización importante de Maverick y se sabe que utiliza un gusano llamado SORVEPOTEL para propagarse a los contactos de las víctimas a través de WhatsApp Web. Se cree que la campaña Maverick es causada por un grupo de amenazas que Trend Micro llama Water Saci.
En el centro de la cadena de ataque se encuentra un cargador con potentes capacidades antianálisis que implementa dos módulos integrados: un troyano bancario con todas las funciones y un componente de gusano que utiliza WhatsApp y Microsoft Outlook para su propagación.
«La cadena de infección observada incluye un instalador MSI malicioso dentro de un archivo ZIP», dijeron los investigadores de seguridad Jia Yu Chan, Daniel Stepanic, Seth Goodwin y Terrance DeJesus. «Estos paquetes de instalación de MSI explotan un programa firmado por Logitech llamado Logi AI Prompt Builder».
El malware utiliza la descarga de DLL en la aplicación para iniciar una DLL maliciosa (‘screen_retriever_plugin.dll’). Esta DLL actúa como un cargador con un «subsistema de vigilancia integral» que monitorea continuamente herramientas de análisis, entornos sandbox, depuradores, desensambladores, herramientas de instrumentación y software antivirus para evadir la detección.
Específicamente, la DLL maliciosa solo se ejecutará cuando la cargue «logiaipromptbuilder.exe» (un programa de Logitech) o «tclloader.exe» (presumiblemente una referencia al ejecutable utilizado durante las pruebas). Reemplazar la biblioteca también elimina los enlaces de modo de usuario colocados en «ntdll.dll» por el software de seguridad del terminal y desactiva la telemetría de seguimiento de eventos para Windows (ETW).
Además, el malware genera tres huellas digitales basadas en comprobaciones antidepuración y antivirtualización, verificación de información del disco del sistema y verificación de idioma, y las utiliza para crear un valor hash ambiental que se utiliza para descifrar la carga útil integrada. Una verificación de idioma del sistema verifica que el idioma predeterminado del usuario sea el portugués brasileño.
«Por ejemplo, la presencia de un depurador generará un hash incorrecto, por lo que cuando el malware intente derivar una clave de descifrado del hash, la carga útil no se descifrará correctamente y TCLBANKER dejará de ejecutarse», explicó Elastic.
El principal componente lanzado tras estas comprobaciones es el troyano bancario, que vuelve a comprobar si se está ejecutando en el sistema brasileño y procede a establecer la persistencia mediante una tarea programada. Luego envía una baliza a un servidor externo con una solicitud HTTP POST que contiene información básica del sistema.
TCLBANKER también incluye un mecanismo de actualización automática y un monitor de URL que utiliza la automatización de la interfaz de usuario para extraer la URL actual de la barra de direcciones del navegador en primer plano. Este paso es para navegadores populares como Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera y Vivaldi.
La URL extraída se compara con una lista codificada de instituciones financieras específicas. Si hay una coincidencia, se establece una conexión WebSocket con el servidor remoto y se ingresa un bucle de envío de comandos, lo que permite al operador realizar una amplia gama de tareas.
Ejecutar comandos de shell Capturar capturas de pantalla Iniciar/detener la transmisión de pantalla Manipular el portapapeles Iniciar keylogger Control remoto del mouse/teclado Administrar archivos y procesos Enumerar procesos en ejecución Enumerar ventanas visibles Proporcionar superposiciones para robar credenciales falsas
Para llevar a cabo el robo de datos, TCLBANKER aprovecha un marco de superposición de pantalla completa basado en Windows Presentation Foundation (WPF) para realizar ingeniería social utilizando mensajes de captura de credenciales, pantallas inactivas mostradas, barras de progreso falsas y actualizaciones de Windows falsas, mientras oculta la superposición de las herramientas de captura de pantalla.
En paralelo, el cargador llama a un módulo de calentamiento para propagar el troyano a escala a través de mensajes de spam y phishing. El ataque emplea dos enfoques: un gusano web de WhatsApp que secuestra sesiones autenticadas del navegador y un robot de correo electrónico de Outlook que explota Microsoft Outlook para enviar correos electrónicos falsos a los contactos de las víctimas.
Al igual que SORVEPOTEL, el gusano WhatsApp recupera plantillas de mensajería de los servidores y aprovecha el proyecto de código abierto WPPConnect para automatizar el envío de mensajes a otros usuarios mientras filtra grupos, transmisiones y números no brasileños.
Los agentes de Outlook, por otro lado, son robots de spam de correo electrónico que explotan la aplicación Microsoft Outlook instalada por la víctima para enviar correos electrónicos de phishing desde la dirección de correo electrónico de la víctima, evitando los filtros de spam y otorgando credibilidad al mensaje.
«TCLBANKER refleja la maduración más amplia que se está produciendo en todo el ecosistema de troyanos bancarios brasileños», concluyó Elastic. «Las técnicas que alguna vez fueron características distintivas de los actores de amenazas más avanzados, como el descifrado de carga útil controlado por el entorno, la generación directa de llamadas al sistema y la orquestación de ingeniería social en tiempo real a través de WebSockets, ahora están empaquetadas en software criminal de uso general».
«Esta campaña se apodera de la autenticidad y la capacidad de entrega de las comunicaciones legítimas al secuestrar las sesiones de WhatsApp y las cuentas de Outlook de las víctimas, un modelo de distribución que no puede ser capturado por los portales de correo electrónico tradicionales ni por las defensas basadas en la reputación».
Source link
