Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Cheval de Troie bancaire TCLBANKER

Cheval de Troie bancaire TCLBANKER

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :

Des chercheurs en cybersécurité ont découvert un cheval de Troie bancaire brésilien jusqu'alors inconnu, baptisé TCLBANKER. Ce logiciel malveillant très sophistiqué cible 59 plateformes bancaires, fintech et de cryptomonnaies. La campagne est actuellement suivie sous le nom de code REF3076 et serait une évolution significative de la tristement célèbre famille de logiciels malveillants Maverick, précédemment associée au groupe de menaces Water Saci.

TCLBANKER étend les méthodes d'attaque précédentes en intégrant des mécanismes anti-analyse avancés, une livraison de charge utile furtive et des capacités de propagation à grande échelle via des plateformes de communication compromises.

Une chaîne d’infection furtive conçue pour l’évasion

L'attaque débute par une archive ZIP malveillante contenant un programme d'installation MSI qui exploite une application Logitech légitimement signée, nommée Logi AI Prompt Builder. Grâce au chargement latéral de DLL, le logiciel malveillant force l'application de confiance à charger une bibliothèque malveillante nommée « screen_retriever_plugin.dll », qui fait office de chargeur principal.

Ce chargeur intègre un système de surveillance étendu, conçu spécifiquement pour échapper à la détection. Il analyse en permanence les environnements de sécurité et d'analyse, notamment les débogueurs, les antivirus, les désassembleurs, les environnements sandbox et les outils d'instrumentation. L'exécution ne se déclenche que lorsque la DLL est lancée par des processus autorisés tels que « logiaipromptbuilder.exe » ou « tclloader.exe », ce dernier étant probablement lié à des tests internes.

Pour contourner la surveillance de sécurité, le logiciel malveillant supprime les hooks en mode utilisateur placés dans « ntdll.dll » par les solutions de protection des terminaux et désactive la télémétrie ETW (Event Tracing for Windows). Il crée également plusieurs empreintes système basées sur les contrôles anti-débogage, la détection de virtualisation, les informations disque et les paramètres de langue du système d'exploitation. Ces empreintes génèrent un hachage d'environnement utilisé pour déchiffrer la charge utile embarquée.

Le logiciel malveillant vérifie spécifiquement si le système cible utilise le portugais brésilien. Toute tentative de débogage ou d'analyse entraîne une valeur de hachage incorrecte, empêchant le déchiffrement de la charge utile et interrompant son exécution.

Les capacités d’un cheval de Troie bancaire sont conçues pour un contrôle total du système.

Une fois les contrôles anti-analyse terminés, le cheval de Troie bancaire principal est déployé. Après avoir confirmé que le système appartient à un utilisateur brésilien, le logiciel malveillant s'installe durablement grâce à des tâches planifiées et contacte un serveur de commande et de contrôle externe via des requêtes HTTP POST contenant des informations système.

TCLBANKER intègre une fonction de mise à jour automatique et surveille activement l'activité du navigateur en extrayant les URL de la barre d'adresse du navigateur au premier plan grâce à des techniques d'automatisation de l'interface utilisateur. Ce logiciel malveillant cible les navigateurs les plus utilisés, notamment :

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Courageux
  • Opéra
  • Vivaldi

Lorsqu'un site web bancaire ou de cryptomonnaie surveillé est détecté, TCLBANKER établit une connexion WebSocket avec un serveur distant et entre dans une boucle d'exécution de commandes. Ceci permet aux attaquants d'effectuer à distance un large éventail d'activités malveillantes, notamment la reconnaissance du système, la manipulation du presse-papiers, l'enregistrement des frappes au clavier, la capture d'écran, la diffusion d'écran, le contrôle à distance de la souris et du clavier, la gestion des processus et le déploiement de superpositions frauduleuses pour la récupération d'identifiants.

Ingénierie sociale avancée et vol d’identifiants

TCLBANKER exploite largement l'ingénierie sociale pour dérober des informations sensibles. Ce logiciel malveillant utilise une interface de superposition plein écran basée sur Windows Presentation Foundation (WPF), capable d'afficher des interfaces d'hameçonnage extrêmement convaincantes. Ces superpositions imitent des messages bancaires légitimes, de fausses mises à jour Windows, des barres de progression et des écrans d'attente d'hameçonnage vocal, conçus pour inciter les victimes à divulguer leurs identifiants.

Il est à noter que ces superpositions sont invisibles pour les utilitaires de capture d'écran, ce qui rend la détection et l'analyse forensique beaucoup plus difficiles.

WhatsApp et Outlook transformés en outils de distribution de logiciels malveillants

Outre le cheval de Troie bancaire, le programme d'installation déploie un ver informatique chargé de propager l'infection à grande échelle via WhatsApp Web et Microsoft Outlook. Le module WhatsApp détourne les sessions de navigation authentifiées et utilise le projet open source WPPConnect pour automatiser l'envoi de messages aux contacts des victimes. Afin d'optimiser le ciblage, le logiciel malveillant exclut les discussions de groupe, les listes de diffusion et les numéros de téléphone non brésiliens.

Le composant Outlook agit comme un robot de spam d'hameçonnage en exploitant l'application Microsoft Outlook installée sur le compte de la victime pour diffuser des courriels malveillants directement depuis son adresse. Ces messages provenant de comptes légitimes et d'infrastructures de confiance, les filtres anti-spam traditionnels et les systèmes de sécurité basés sur la réputation peinent à détecter cette activité malveillante.

Ce logiciel malveillant serait capable d'envoyer des spams à près de 3 000 contacts en utilisant des sessions WhatsApp et des comptes Outlook compromis, augmentant considérablement la portée de la campagne tout en exploitant les relations de confiance existantes entre les victimes et leurs contacts.

Signes d’un paysage de menaces en expansion

Les chercheurs estiment que REF3076 n'en est qu'à ses débuts. Des éléments tels que les chemins de journalisation de débogage, l'infrastructure de phishing inachevée et les noms des processus de test suggèrent que les opérateurs continuent d'affiner et d'étendre la campagne.

TCLBANKER souligne également l'évolution rapide de l'écosystème des logiciels malveillants bancaires au Brésil. Des techniques autrefois réservées aux acteurs malveillants les plus sophistiqués apparaissent désormais dans les opérations de cybercriminalité courantes. Ces techniques comprennent :

  • Déchiffrement de la charge utile basé sur l'environnement
  • génération directe d'appels système
  • Ingénierie sociale en temps réel via WebSocket
  • Propagation de messages de confiance via des plateformes de communication piratées

En exploitant des sessions légitimes sur WhatsApp et Outlook, TCLBANKER contourne efficacement de nombreuses défenses de sécurité classiques. Cette campagne illustre comment les chevaux de Troie bancaires modernes combinent de plus en plus des techniques avancées de furtivité, d'automatisation et d'ingénierie sociale pour créer des opérations cybercriminelles extrêmement résilientes et évolutives.

Tendance

Arnaque au stockage iCloud et aux e-mails : arnaque...

Hameçonnage, Courrier indésirable
Les courriels inattendus prétendant qu'un compte est menacé ou nécessitant une action urgente doivent toujours être traités avec prudence. Les cybercriminels usurpent fréquemment l'identité de marques et de services en ligne de confiance pour inciter les destinataires à cliquer sur des liens malveillants, à divulguer des informations sensibles ou à télécharger des fichiers dangereux....

Le plus regardé

Chargement...