Elastische Sicherheit Labs Forscher berichteten die Entstehung eines neuen Bank Trojan, genannt TCLBanker, die von einem MSI handgefertigten Installer verteilt wird, der das Tool "Logitech AI Prompt Builder" durchläuft. Anstelle eines groben Angriffs, Malware nutzt die legitime Ausführung der verletzlichen Anwendung, um Ihren schädlichen Code zu laden durch DLL Seitenrollen, eine Technik, die Ihnen erlaubt, im Rahmen eines zuverlässigen Prozesses zu arbeiten und viele konventionelle Erkennungen zu vermeiden.
Zusätzlich zu den klassischen Fähigkeiten eines Trojaner-Banking - Erfassung von Anmeldeinformationen durch Grafik-Overlay (WPF-Overlay), Schlüsselregistrierung, Clipboard-Theft und Remote-Bildschirm und Maus-Steuerung - TCLBanker enthält Propagation Module, die es zu einem Wurm machen: es nutzt aktive WhatsApp-Web-Sitzungen in Chromium-Profile entdeckt, um das Konto zu entführen und Spam-Nachrichten, um gefilterte Telefon-Format-Kontakte zu filtern, und Missbrauch von Microsoft phish-Kontakte zu senden. Diese Fähigkeiten ermöglichen es der Kampagne, sich schnell über Kontaktnetze zu verbreiten.
Malware-Betreiber erhalten eine große Reihe von Funktionen auf der kompromittierten Maschine, von Live-Bildschirm Übertragung bis zur Remote-Ausführung von Befehlen und Fensterhandling, um falsche Formulare - z.B. PIN-Tastaturen oder "Bank-Support"-Bildschirme - zu zeigen, um den Benutzer zu täuschen. Um sich vor der Analyse zu schützen, verwendet der Trojan umgebungsabhängige Entschlüsselungsroutinen und einen wachsamen Faden, der inverse Engineering-Tools und Frameworks sucht, so dass es schwierig ist, in Sandboxen und forensischen Umgebungen zu studieren.
Der erste Bereich, der von Elastischen Punkten auf 59 Finanz- und kryptographische Plattformen berichtet wird, mit einem aktuellen Fokus in Brasilien (Zeitzone Verifikation, Tastaturverteilung und lokale). Allerdings zeigt die Geschichte der lateinamerikanischen Malware-Familien, dass Autoren oft Ziele im Laufe der Zeit erweitern, so das Risiko einer regionalen oder internationalen Expansion ist real. Die Verwendung angeblich legitimer Installateure und die Phishing Shipping Automation machen TCLBanker zum Beispiel, wie zunehmend zugängliche und modulare Werkzeuge die Gefahr auch für weniger anspruchsvolle Angreifer erhöhen.
Für Nutzer und Administratoren ist die erste Verteidigungslinie vorbeugend: nicht Software aus nicht verifizierten Quellen installieren und immer von offiziellen Lieferantenseiten herunterladen. Verifizieren Sie digitale Installationssignaturen, validieren Sie Hash vom Hersteller veröffentlicht und vermeiden Sie MSI-Dateien von zweifelhaften Ursprüngen reduziert die anfängliche Ausführungswahrscheinlichkeit. In Unternehmensteams verlangsamt die Anwendung von Anwendungskontrollrichtlinien wie AppLocker oder Whitelisting-Systemen die Ausführung von nicht autorisierten Binaries.
Stärkung kritischer Konten mit Multifaktor-Authentifizierung Phishing resistente (z.B. FIDO2-Token oder physikalische Schlüssel) begrenzen den Schaden auch dann, wenn die Anmeldeinformationen erfasst werden. Was zu schützen App wird empfohlen, die Überprüfung in zwei Schritten innerhalb der Anwendung zu aktivieren und aktive Sitzungen in Browsern zu schließen, wenn nicht verwendet; für Post, aktivieren Sie MFA, überprüfen DKIM / DMARC / SPF Signaturen und begrenzen unnötige Automatisierungen in Outlook nach Gruppenrichtlinien.
Aus betrieblicher und Detektionsperspektive ist es angebracht, anomale Verhaltensweisen mehr als nur Signaturen zu überwachen: legitime Prozesse, die DLs von ungewöhnlichen Routen laden, Chromium versteckte Instanzen, die mit IndexedDB interagieren, Prozesse, die den Task Manager beenden, ungewöhnliche WebSocket-Verbindungen oder das Aussehen von WPF-Fenstern, die Anmeldeinformationen außerhalb der üblichen Kanäle verlangen. Organisationen müssen EDR mit Sichtbarkeit und Regeln für Kinderprozesse bereitstellen, um über COM-Automatisierungen zu informieren, die Outlook mit seltsamen Parametern starten.
Banken und Finanzdienstleister sollten auch die Backend-Kontrollen stärken: atypische Zugriffs- und Transaktionsmuster erkennen, Multi-Channel-Reverification für sensible Operationen benötigen und Kunden über Betrugssignale - zum Beispiel PIN-Anforderungen oder Schwellen-Bildschirmcodes - informieren, die nie in unoffizielle Fenster eingeführt werden sollten. Die Zusammenarbeit zwischen Finanzinstituten, CERTs und der Sicherheitsgemeinschaft ist unerlässlich, um Indikatoren zu teilen und bösartige Domains oder Infrastrukturen schnell zu blockieren.
Für diejenigen, die sich vertiefen wollen, bietet der ursprüngliche technische Bericht Details zu MOs, Indikatoren und Spuren, die zur Minderung dienen: Elastische Sicherheitslabors Bericht über TCLBanker. Für praktische Anleitungen und Härtemaßnahmen gegen Malware im Allgemeinen bieten die Empfehlungen der amerikanischen nationalen Cyber-Sicherheitsagentur geltende Kontrollen in geschäftlichen und persönlichen Umgebungen: CISA - Malware.
Kurz gesagt, TCLBanker erläutert, wie die Kombination von Vermeidungstechniken, Missbrauch von legitimen Anwendungen und selbstfahrenden Optionen einen böswilligen Kit zu einem Multiplikator Bedrohung machen. Die beste Verteidigung kombiniert Prävention in der Installationskette, Stärkung der Authentifizierung, Endpoint-Kontrollen und verhaltensbasierte Erkennung, um Infektionen zu identifizieren und zu enthalten, bevor sie sich durch Netzwerke und Organisationssysteme verbreiten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...