Ein neuer Schauspieler in der langen Malware Saga auf brasilianisches Banking zeigt wieder, dass fortgeschrittene Techniken nicht mehr auf anspruchsvolle Gruppen beschränkt sind: Forscher haben TCLBANKER identifiziert, eine Familie von Trojanern, die nach Elastischen Sicherheitslabors als REF3076 verfolgt werden und die eine wichtige Evolution der alten Maverick und seiner SORVEPOTEL Wurmkomponente ist. Wesentlich ist nicht nur die Fähigkeit, Anmeldeinformationen zu stehlen oder Remote-Maschinen zu steuern, sondern die Kombination von technischem Ausweichen, Hintertüren von Beharrlichkeit und einem Distributionsmodell, das das Vertrauen legitimer Kommunikation ausnutzt..
In der Praxis beginnt der Angriff mit einem MSI-Installer, der in einem ZIP verpackt ist und von einem legitimen Logitech-Binär unterzeichnet wird, der von DLL Seitenrollen. Die schädliche DLL wirkt als Ladegerät mit einem Überwachungssystem, das Analysatoren, Sandboxen und Debugging erkennt, eliminiert Sicherheitshaken auf ntdll.dll und deaktiviert ETW-Telemetrie, um es für forensische Analyse schwierig zu machen. Darüber hinaus erzeugt der Code mehrere "Fußabdrücke" der Umgebung - Antivirtualisierungssteuerungen, Festplatteninformationen und Systemsprache-Konfiguration -, die dazu dienen, Schlüssel aus der Nutzlast nur abzuleiten, wenn die Maschine die Anforderungen erfüllt, insbesondere, dass die Standardsprache Portugiesisch aus Brasilien ist.
Die Hauptkomponente implementiert bereits in reiferen Kampagnen gesehene Techniken: ein Bank Trojaner, der sichtbare URLs im Browser über UI Automation überwacht, WebSocket-Verbindungen setzt, um Echtzeit-Bestellungen zu erhalten und WPF-basierte Vollbildüberschneidungen zur Supplantierung legitimer Fenster und zur Erfassung von Anmeldeinformationen bereitzustellen. Diese Überlagerungen sind darauf ausgelegt, Bildschirmerfassungswerkzeuge zu stummieren und Echtzeit-Übersichts- und Phishing-Taktiken zu kombinieren, was das Betrugsrisiko auch angesichts traditioneller Antivirenlösungen erhöht.
Parallel aktiviert der Ladegerät ein Wurmmodul, das die Infektion um zwei Vektoren propagiert: erfragt WhatsApp Web-Sessions, um Nachrichten an ausgewählte Kontakte zu senden (Filtergruppen und Zahlen außerhalb Brasiliens und Nutzung von Frameworks wie WPPConnect zur Automatisierung der Sendung) und missbraucht Microsoft Outlook auf der Opfermaschine installiert, um Phishing-E-Mails von der legitimen Adresse des Benutzers zu senden. Das Ergebnis ist eine hochwirksame Verbreitung, die das Vertrauen in persönliche und geschäftliche Kommunikation nutzt.
Die Auswirkungen sind klar: Verteidigungen, die ausschließlich auf dem Ruf des Absenders oder statischer Signaturen basieren, sind nicht mehr ausreichend. Eine Nachricht, die aus dem eigenen Outlook des Opfers oder aus seiner authentifizierten WhatsApp-Session kommt, kann Filter ausweichen und eine Welle von Infektionen zwischen vertrauenswürdigen Kontakten erzeugen. Darüber hinaus reduziert die Praxis des "Datings" durch Sprache und Umwelt die Sichtbarkeit in der globalen Forschung und konzentriert sich auf Schäden an lukrativen Zielen, wie Banken und Fintech-Plattformen in Brasilien.
Für Endbenutzer ist die sofortige Empfehlung, Vorsicht zu üben: führen Sie keine MSI oder Installateure, die per Post oder Nachrichten empfangen werden, ohne die Quelle zu überprüfen, schließen WhatsApp Web-Sitzungen, wenn nicht verwendet und aktivieren Sie die Überprüfung in zwei Schritten, wenn möglich. Für Organisationen sollte die Antwort multidimensional sein: die Anwendungskontrolle und die Zulassung zu stärken, die Erstellung von geplanten Aufgaben und abnormen Prozessaktivitäten, die von Dritten unterzeichnet werden, die ungewöhnliche Buchhandlungen laden, zu überwachen und EDR-Regeln anzupassen, um Offensive Verhalten zu erkennen (ETW-Deaktivierung, ntdll.dll-Handling, UI Automation verwenden, um Adressleisten zu lesen, persistente WebSocket-Verbindungen zu verd-Domains).
Darüber hinaus ist es wichtig, die Mail-Umgebung zu härten: starke Authentifizierung (MFA) auf Konten anwenden, eingeschränkte Versandpolitiken verwenden und ungewöhnliche Versandmuster von internen Konten überwachen, die einen Missbrauch durch einen lokalen Spambot anzeigen könnten. Das Training bei der Erkennung von Überlagerungen und Vernichtungssignalen erhöht die Benutzerfreundlichkeit auf falschen Bildschirmen und Nachrichten, die Unterstützung oder Updates simulieren.
Die kollektiven Verteidigungen sind auch wichtig: Antwortteams und SOCs müssen Indikatoren teilen und nach bestimmten Signalen suchen, wie z.B. Prozesse logiaipropptbuilder.exe, das Vorhandensein von programmierten Aufgaben mit ungewöhnlichen Namen, Prozesse, die massiv mit der Benutzeroberfläche und WebSocket-Verkehr ausgehend von neu geschaffenen Infrastrukturen interagieren. Um die Tools, die diese Malware wiederverwendet, besser zu verstehen, können Sie das WPPConnect Projekt in GitHub sehen https: / / github.com / wppconnect-team / wppconnect und zu verstehen, wie Sie die Entfernung von Telemetrie und Tracing in Windows missbrauchen und mildern können, ist es angebracht, die Dokumentation von Ereignisverfolgung für Windows (ETW) in Microsoft zu überprüfen https: / / learn.microsoft.com / en-us / windows / win32 / etw / about-event-tracing. Für den menschlichen Aspekt der Täuschung sind die sozialen Engineering-Ressourcen von OWASP als Bildungsreferenz nützlich https: / / owasp.org / www-community / Social _ Engineering.
Kurz gesagt, TCLBANKER zeigt die Reife und Kommerzialisierung von Kapazitäten, die zuvor von höheren Ebenen Schauspielern geprägt waren: umweltfreundliche Verschlüsselung, fortgeschrittene Evasion und ein Modell der Verbreitung, die interpersonales Vertrauen monetisieren. Die Antwort muss Technologie, Prozesse und Bildung kombinieren, so dass die Kombination von authentifizierten Sitzungen, Messaging-Anwendungen und Mail-Kunden nicht der Kanal für die Erweiterung der nächsten Welle von Bankbetrug.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Mini Shai-Hulud: der Angriff, der die Abhängigkeiten in Massenintrusionsvektoren verwandelte
Zusammenfassung des Vorfalls: GitHub untersucht unbefugten Zugriff auf interne Repositories, nachdem der als TeamPCP bekannte Schauspieler den angeblichen Quellcode und interne ...
Sicherheitsalert: CVE-2026-45829 stellt Chroma DB zur Remote-Code-Ausführung ohne Authentifizierung
Ein kritischer Fehler in der ChromaDB Python API - die beliebte Vektorbasis, die für die Wiederherstellung während der LLM-Inferenz verwendet wird - erlaubt nicht authentifizier...
Trapdoor: der Maldumping-Betrieb, der Android-Apps in eine automatische illegale Einkommensfabrik verwandelte
Cybersecurity-Forscher haben eine Operation von Maldumping und mobile Werbebetrug als benannt entdeckt Traptüre, die legitime Android-Anwendungseinrichtungen in eine automatisch...
Sicherheitsalarm: kritische Sicherheitslücken in SEPPMail können es Ihnen ermöglichen, E-Mails zu lesen und Remotecode auszuführen
Sicherheitsforscher haben im SEPPMail Secure E-Mail Gateway eine kritische Fehlerkette entdeckt, die gemeinsam das Lesen von E-Mails anderer Personen über die Ausführung von Rem...
Nx Console in check: Wie eine Produktivitätserweiterung zu einem Anmelde-Diebstahl und einer Bedrohung für die Lieferkette wurde
Ein an Entwickler gerichteter Angriff zeigte erneut die Fragilität der Software-Versorgungskette: Die Nx Console-Erweiterung für Editoren wie Visual Studio Code, mit mehr als 2,...