TCLBANKER: νέο βραζιλιάνικο banking trojan με worm σε WhatsApp και Outlook

Μια νέα, τεχνικά προηγμένη καμπάνια που ονομάζεται REF3076 διαδίδει το banking trojan TCLBANKER, χρησιμοποιώντας μολυσμένους εγκαταστάτες Logitech και έναν πολυεπίπεδο μηχανισμό αυτο-εξάπλωσης μέσω WhatsApp και Outlook. Πρόκειται για ένα παράδειγμα όπου σύγχρονες τεχνικές «supply chain» compromise συναντούν προηγμένες τεχνικές ανίχνευσης περιβάλλοντος και κοινωνικής μηχανικής — αποτέλεσμα μια απειλής που είναι ταυτόχρονα στοχευμένη και ικανή να αυτοδιαδοθεί με μεγάλη ταχύτητα.

Πώς μολύνει το θύμα

Η καμπάνια ξεκινά με ένα συμπιεσμένο αρχείο ZIP που περιέχει ένα μολυσμένο αρχείο εγκατάστασης τύπου MSI. Ο εγκαταστάτης εκμεταλλεύεται μια νόμιμα υπογεγραμμένη εφαρμογή της Logitech, γνωστή ως Logi AI Prompt Builder, μέσω τεχνικής DLL sideloading. Συγκεκριμένα, ένα κακόβουλο DLL με όνομα screen_retriever_plugin.dll παρουσιάζεται ως «νόμιμο» plugin Flutter και φορτώνεται αυτόματα από το host της Logitech όταν ξεκινά η εφαρμογή.

Μόλις το DLL φορτωθεί, αποσφραγίζει και εκτελεί δύο προστατευμένα payloads που έχουν «συσκευαστεί» με .NET Reactor: ένα πλήρες module banking trojan και ένα worm module που χειρίζεται την αυτο-εξάπλωση μέσω λογαριασμών μηνυμάτων και email.

Έξυπνη ανίχνευση περιβάλλοντος και αποφυγή ανάλυσης

Αυτό που κάνει το TCLBANKER ιδιαιτέρως δύσκολο στην ανίχνευση είναι ο μηχανισμός αποσυμπίεσης και αποκρυπτογράφησης του payload που εξαρτάται από το περιβάλλον. Ο loader δημιουργεί ένα τριμελές «αποτύπωμα» του περιβάλλοντος βασιζόμενο σε ελέγχους anti-debugging, πληροφορίες συστήματος και ρυθμίσεις γλώσσας. Αν οι συνθήκες μοιάζουν με sandbox ή εργαστήριο ανάλυσης, το payload δεν αποκρυπτογραφείται και η εκτέλεση σταματά σχεδόν διακριτικά.

Σε πιο τεχνικό επίπεδο, το malware απενεργοποιεί την καταγραφή ETW (Event Tracing for Windows) στο user-mode με την τροποποίηση της συνάρτησης EtwEventWrite, εισάγοντας ένα κλασικό xor eax, eax; ret instruction. Παράλληλα δημιουργεί κατευθείαν syscall trampolines για να παρακάμψει hooks ασφαλείας — τεχνικές που χρησιμοποιούν προηγμένα rootkits και fileless malware για να μειώσουν την επιτήρηση από EDR/AV λύσεις.

Έλεγχοι ασφαλείας και watchdog

Ένα επίμονο watchdog subsystem τρέχει κατά τη διάρκεια όλης της μόλυνσης, σαρώνοντας για πάνω από δώδεκα εργαλεία ανάλυσης όπως x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker, Frida και CheatEngine. Η ανίχνευση οποιουδήποτε από αυτά οδηγεί σε άμεση τερματισμό των διαδικασιών του malware, μειώνοντας δραστικά την πιθανότητα ανάλυσης από ερευνητές.

Στόχευση και γεωπεριφράξεις στη Βραζιλία

Το banking module του TCLBANKER είναι σαφώς προσανατολισμένο στη Βραζιλία. Για να ενεργοποιηθεί πλήρως ζητάει τουλάχιστον δύο ταυτόχρονες γεωγραφικές ενδείξεις (geofencing), όπως region code, time zone, σύστημα τοπικών ρυθμίσεων και διάταξη πληκτρολογίου. Μόνο αν αυτές οι παραμέτροι ταιριάζουν με βραζιλιάνικο προφίλ, ο κακόβουλος κώδικας προχωρά σε πλήρη λειτουργία.

Κατά τη διάρκεια της λειτουργίας, το malware παρακολουθεί το ενεργό πεδίο διεύθυνσης των browser σε πραγματικό χρόνο με χρήση του Windows UI Automation, υποστηρίζοντας Chrome, Firefox, Edge, Brave, Opera και Vivaldi. Κάθε δευτερόλεπτο ελέγχει την τρέχουσα URL ενάντια σε μια κρυπτογραφημένη λίστα 59 βραζιλιάνικων τραπεζών, fintechs και crypto υπηρεσιών. Σε περίπτωση ταύτισης ανοίγεται σύνδεση WebSocket προς έναν C2 server, δίνοντας στον επιτιθέμενο πλήρη απομακρυσμένο έλεγχο.

Οπτικά και κοινωνικά κόλπα: πλήρης οθόνη overlay

Η πιο ανησυχητική ικανότητα του banking module είναι ένα πλαίσιο overlay βασισμένο σε WPF, που καταλαμβάνει ολόκληρες οθόνες με παράθυρο χωρίς περιθώρια, topmost, και το οποίο δεν μπορεί να κλείσει από το θύμα μέχρι να το απενεργοποιήσει ο χειριστής. Επιπλέον, το overlay γίνεται αόρατο σε εργαλεία καταγραφής οθόνης χρησιμοποιώντας την σημαία WDA_EXCLUDEFROMCAPTURE, αποτρέποντας το θύμα από το να τραβήξει ή να μοιραστεί screenshots για βοήθεια.

Τα ενσωματωμένα UI modules περιλαμβάνουν φόρμες για συλλογή credentials με μάσκες βραζιλιάνικων τηλεφώνων, ψεύτικες οθόνες «Windows Update» και ειδικές οθόνες «vishing» που κρατούν το θύμα απασχολημένο ενώ οι επιτιθέμενοι καλούν τηλεφωνικά. Υπάρχει ακόμα ένας «cutout overlay» που εμφανίζει ένα πραγματικό παράθυρο εφαρμογής μέσα στο ψευδεπίγραφο interface για να κάνουν την απάτη πιο πειστική — μια κλασική τεχνική social engineering σε υψηλό επίπεδο.

Self-propagation μέσω WhatsApp και Outlook

Το δεύτερο payload, Tcl.WppBot, είναι ένα διπλό worm: λειτουργεί ταυτόχρονα σε WhatsApp Web και σε Outlook. Ο WhatsApp bot σαρώσει εγκατεστημένους Chromium-based browsers για ενεργές συνεδρίες WhatsApp Web, εντοπίζοντας LevelDB ή IndexedDB directories στο profile κάθε browser. Στη συνέχεια κλωνοποιεί το profile σε προσωρινό φάκελο, εκκινεί ένα headless Chromium με χρήση του Selenium WebDriver, εγχέει το JavaScript του WPPConnect για να παρακάμψει ανιχνεύσεις bot, μαζεύει τις επαφές και στέλνει σιωπηλά phishing μηνύματα που περιλαμβάνουν τον TCLBANKER installer σε όλες τις βραζιλιάνικες επαφές.

Παράλληλα, ο Outlook bot συνδέεται στο τοπικά εγκατεστημένο Microsoft Outlook μέσω COM interop, εξάγει επαφές από το φάκελο Contacts και το ιστορικό εισερχομένων και αποστέλλει phishing emails από τον ίδιο τον λογαριασμό του θύματος. Τα emails χρησιμοποιούν τον τίτλο «NFe disponível para impressão» (Ηλεκτρονικό Τιμολόγιο Διαθέσιμο για Εκτύπωση) και οδηγούν σε phishing domains που μιμούνται βραζιλιάνικές ERP πλατφόρμες. Επειδή τα μηνύματα προέρχονται από αξιόπιστους λογαριασμούς του ίδιου του θύματος, παρακάμπτουν ευκολότερα τα παραδοσιακά φίλτρα email.

Υποδομή C2 και ευελιξία των χειριστών

Όλη η υποδομή C2 και η παράδοση payload φιλοξενούνται κάτω από ένα μόνο λογαριασμό Cloudflare Workers, επιτρέποντας στους χειριστές την ταχεία περιστροφή domains και endpoints. Τα artifacts προγραμματιστών, όπως διαδρομές debug (C:temptcl-debug.txt), ονόματα δοκιμαστικών διεργασιών και ημιτελείς σελίδες phishing σε κατάσταση συντήρησης, δείχνουν ότι η καμπάνια βρίσκεται ακόμη σε πρώιμο στάδιο λειτουργίας και ότι οι επιτιθέμενοι δοκιμάζουν δομές πριν την επέκταση.

Ερευνητές συνδέουν το TCLBANKER με την οικογένεια malware MAVERICK/SORVEPOTEL μέσω κοινής υποδομής και μοτίβων κώδικα, ένδειξη ότι πρόκειται για επαναχρησιμοποίηση πόρων και εξελικτική ανάπτυξη ομάδων κυβερνοέγκλησης.

Δείκτες συμβάντων (IoC) — τι πρέπει να παρακολουθείτε

Οι οργανισμοί ασφάλειας πρέπει να επισημάνουν συγκεκριμένα artifacts όπως τα αρχεία DLL με SHA-256 hashes που σχετίζονται με τον loader, ονόματα domain που φιλοξενούν C2 και phishing σελίδες, καθώς και αρχεία ZIP με ύποπτα MSI packages. Η παρακολούθηση και whitelist/blacklist σε επίπεδο EDR για anomalous DLL loads σε υπογεγραμμένες εφαρμογές, ασυνήθιστες headless browser instances και εκτελέσεις Selenium μέσα σε προφίλ χρηστών, μπορεί να μειώσει την επιτυχία της εξάπλωσης.

• Παρακολούθηση DLL sideloading σε εφαρμογές που χρησιμοποιούν τρίτους plugins.
• Αναγνώριση χρήσης Selenium WebDriver ή headless Chromium σε περιβάλλοντα χρηστών.
• Έλεγχος ασυνήθιστης δράσης WebSocket προς εξωτερικά domains.
• Αναλυτική επιτήρηση Outlook COM κλήσεων και μαζικών εξαγωγών επαφών.

Τι σημαίνει για τους χρήστες

Για τον απλό χρήστη το κύριο μάθημα είναι ότι ακόμη και αν ένα μήνυμα ή ένα αρχείο φαίνεται να προέρχεται από γνωστό επαφή ή μια υπογεγραμμένη εφαρμογή, αυτό δεν εξασφαλίζει ασφάλεια. Η κοινωνική μηχανική παίζει κρίσιμο ρόλο: fake invoices, τηλεφωνικές κλήσεις (vishing) και overlays που αντιγράφουν νόμιμες διεπαφές μπορούν να ξεγελάσουν ακόμα και προσεκτικούς χρήστες. Οι επιχειρήσεις πρέπει να εφαρμόσουν διπλή επαλήθευση (MFA) για κρίσιμους λογαριασμούς, να περιορίσουν δικαιώματα COM και να εκπαιδεύσουν προσωπικό για vishing και phishing επιθέσεις.

Ελληνικό και ευρωπαϊκό πλαίσιο

Αν και προς το παρόν το TCLBANKER στοχεύει κυρίως βραζιλιάνικα θύματα, οι τεχνικές που χρησιμοποιεί είναι παγκόσμιες και μπορούν να προσαρμοστούν εύκολα σε άλλες αγορές. Στο ευρωπαϊκό πλαίσιο, όπου οι τραπεζικές υποδομές και τα νομοθετικά πλαίσια για την προστασία δεδομένων είναι διαφορετικά, η απειλή παραμένει σημαντική λόγω της χρήσης διεθνών πλατφορμών μηνυμάτων και cloud υπηρεσιών. Επιπλέον, οι επιθέσεις που χρησιμοποιούν εργαλεία τρίτων (Logitech installer) υπενθυμίζουν την ανάγκη αυστηρού ελέγχου για την αλυσίδα εφοδιασμού λογισμικού.

Γιατί έχει σημασία

Η περίπτωση του TCLBANKER δείχνει πώς η συνδυασμένη χρήση supply chain compromise, anti-analysis τεχνικών και αυτο-εξάπλωσης μέσω κοινωνικών δικτύων δημιουργεί μια πολύ επικίνδυνη απειλή. Οι οργανισμοί ασφαλείας δεν μπορούν να βασίζονται αποκλειστικά σε signature-based προστασία· χρειάζονται behavior-based ανίχνευση, έγκαιρη παρακολούθηση δικτύου και ρυθμίσεις endpoint που περιορίζουν το scope των εφαρμογών. Η ταχεία αλλαγή υποδομής μέσω Cloudflare Workers επίσης αυξάνει την ανάγκη για ευέλικτες διαδικασίες threat intelligence.

Συνοπτικά, πρόκειται για ένα δείγμα της σύγχρονης εξελιγμένης εγκληματικότητας στον κυβερνοχώρο: στοχευμένη, τεχνικά προηγμένη και ικανή να εκμεταλλεύεται τόσο τεχνικά όσο και ανθρώπινα ευάλωτα σημεία. Η καλύτερη άμυνα είναι ο συνδυασμός τεχνικών ελέγχων, εκπαίδευσης χρηστών και συνεχούς επιτήρησης.