Trussel fra TCLBanker
Hackere retter angivelig fokus mot 59 banker, fintech- og kryptovaluta-plattformer, samtidig som de sprer seg gjennom populære applikasjoner som WhatsApp og Outlook. En trojaner kalt TCLBanker rammer Windows-systemer gjennom infiserte Microsoft-installasjonspakker, ifølge rapporter fra BleepingComputer.
Utvikling av Malware
TCLBanker ble oppdaget av Elastic Security Labs, hvis forskere mener det er en betydelig utvikling av de eldre malware-familiene Maverick og Sorvepotel. Rapporten indikerer at TCLBanker sjekker infiserte enheter for tidssone, tastaturoppsett og lokale innstillinger.
Spredning og Kapabiliteter
Malware inkluderer orm-moduler som lar den spre seg automatisk gjennom WhatsApp og Microsoft Outlook. Når et målrettet nettsted åpnes, oppretter malware en WebSocket-økt med sin kommandoserver og begynner fjernkontrolloperasjoner. Operatørens kapabiliteter inkluderer:
- Direktesending av skjerm
- Skjermbilder
- Tastetrykkregistrering
- Utklippstavlekapring
- Utførelse av shell-kommandoer
- Tilgang til filsystemet
- Fjernkontroll av mus og tastatur
Innsamling av Sensitiv Informasjon
TCLBanker bruker også falske overleggsskjermer for å samle inn legitimasjon, PIN-koder, telefonnumre og annen sensitiv informasjon. Disse overleggene kan inkludere:
- Falske legitimasjonsforespørsel
- PIN-tastatur
- Venteskjermer for bankstøtte
- Windows-oppdateringsskjermer
- Falske fremdriftsskjermer
BleepingComputer rapporterer at TCLBanker ser ut til å målrette apper i Brasil, og overvåker en ofres nettleseradressefelt hvert sekund for å oppdage besøk til en av sine 59 målrettede plattformer.
