Bedreigingsjagers hebben een voorheen ongedocumenteerde Braziliaanse banktrojan gemarkeerd TCLBANKER dat zich kan richten op 59 bank-, fintech- en cryptocurrency-platforms.
De activiteit wordt gevolgd door Elastic Security Labs onder de naam REF3076. Er wordt aangenomen dat de malwarefamilie een grote update is van de Maverick, waarvan bekend is dat hij gebruik maakt van een worm genaamd SORVEPOTEL om zich via WhatsApp Web naar de contacten van het slachtoffer te verspreiden. De Maverick-campagne wordt toegeschreven aan een dreigingscluster dat Trend Micro Water Saci noemt.
De kern van de aanvalsketen wordt gevormd door een lader met robuuste anti-analysemogelijkheden die twee ingebedde modules inzet: een volledig functionele banktrojan en een wormcomponent die WhatsApp en Microsoft Outlook gebruikt voor de verspreiding.
“De waargenomen infectieketen bundelt een kwaadaardig MSI-installatieprogramma in een ZIP-bestand”, aldus beveiligingsonderzoekers Jia Yu Chan, Daniel Stepanic, Seth Goodwin en Terrance DeJesus. “Deze MSI-installatiepakketten maken misbruik van een ondertekend Logitech-programma genaamd Logi AI Prompt Builder.”
De malware maakt gebruik van side-loading van DLL tegen de applicatie om een kwaadaardige DLL (“screen_retriever_plugin.dll”) te starten, die functioneert als een lader met een “uitgebreid watchdog-subsysteem” dat voortdurend in de gaten houdt voor analysetools, sandboxes, debuggers, disassemblers, instrumentatietools en antivirussoftware om detectie te omzeilen.
Concreet wordt de kwaadaardige DLL alleen uitgevoerd als deze is geladen door “logiaipromptbuilder.exe” (het Logitech-programma) of “tclloader.exe” (waarschijnlijk een verwijzing naar een uitvoerbaar bestand dat tijdens het testen werd gebruikt). Het verwijdert ook alle usermode-hooks die door eindpuntbeveiligingssoftware in “ntdll.dll” zijn geplaatst door de bibliotheek te vervangen en schakelt Event Tracing for Windows (ETW)-telemetrie uit.
Bovendien genereert de malware drie vingerafdrukken op basis van anti-debugging- en anti-virtualisatiecontroles, systeemschijfinformatiecontroles en taalcontroles, en gebruikt deze om een omgevingshashwaarde te creëren die wordt gebruikt om de ingebedde payload te ontsleutelen. De systeemtaalcontrole zorgt ervoor dat de standaardtaal van de gebruiker Braziliaans Portugees is.
“Als er bijvoorbeeld een debugger aanwezig is, zal deze een onjuiste hash produceren, dus wanneer de malware probeert de decoderingssleutels uit de hash af te leiden, zal de payload niet correct worden gedecodeerd en zal TCLBANKER stoppen met uitvoeren”, legt Elastic uit.
Het belangrijkste onderdeel dat na deze controles wordt gelanceerd, is de banking trojan die nogmaals verifieert of deze op een Braziliaans systeem draait, en vervolgens doorgaat met het tot stand brengen van persistentie met behulp van een geplande taak. Vervolgens wordt deze doorgestuurd naar een externe server met een HTTP POST-verzoek met basissysteeminformatie.
TCLBANKER bevat ook een zelfupdatemechanisme en een URL-monitor die de huidige URL uit de adresbalk van de browser op de voorgrond haalt met behulp van UI Automation. Deze stap is gericht op populaire browsers zoals Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera en Vivaldi.
De geëxtraheerde URL wordt vergeleken met een hardgecodeerde lijst van beoogde financiële instellingen. Als er een overeenkomst is, wordt er een WebSocket-verbinding tot stand gebracht met een externe server en wordt een opdrachtverzendingslus gestart, waardoor de operator een breed scala aan taken kan uitvoeren:
- Voer shell-opdrachten uit
- Maak schermafbeeldingen
- Schermstreaming starten/stoppen
- Klembord manipuleren
- Start een keylogger
- Bedien muis/toetsenbord op afstand
- Beheer bestanden en processen
- Lopende processen inventariseren
- Maak een lijst van zichtbare vensters
- Serveer valse overlays voor het stelen van inloggegevens
Om gegevensdiefstal uit te voeren, vertrouwt TCLBANKER op een op Windows Presentation Foundation (WPF) gebaseerd overlay-framework op volledig scherm om social engineering uit te voeren met behulp van prompts voor het verzamelen van inloggegevens, vishing-wachtschermen, nep-voortgangsbalken en valse Windows-updates, terwijl de overlays voor schermopnametools worden verborgen.
Tegelijkertijd roept de lader de ontwormingsmodule aan om de trojan op grote schaal te verspreiden via spam- en phishing-berichten. Het maakt gebruik van een tweeledige aanpak: een WhatsApp-webworm die geverifieerde browsersessies kaapt en een Outlook-e-mailbot die Microsoft Outlook misbruikt om valse e-mails naar de contacten van het slachtoffer te sturen.
Net als in het geval van SORVEPOTEL haalt de WhatsApp-worm een berichtensjabloon op van de server en maakt gebruik van het open-sourceproject WPPConnect om het verzenden van berichten naar andere gebruikers te automatiseren, terwijl groepen, uitzendingen en niet-Braziliaanse nummers worden weggefilterd.
De Outlook-agent daarentegen is een e-mailspambot die de geïnstalleerde Microsoft Outlook-applicatie van het slachtoffer misbruikt om phishing-e-mails te verzenden vanaf het e-mailadres van het slachtoffer, waardoor spamfilters worden omzeild en de berichten een illusie van vertrouwen worden gegeven.
“TCLBANKER weerspiegelt een bredere rijping in het Braziliaanse ecosysteem van de trojaanse bank”, concludeerde Elastic. “Technieken die ooit het kenmerk waren van meer geavanceerde bedreigingsactoren: omgevingsafhankelijke decryptie van payloads, directe generatie van systeemoproepen, real-time social engineering-orkestratie via WebSocket, worden nu verpakt in commodity-criminaliteit.”
“De campagne erft het vertrouwen en de afleverbaarheid van legitieme communicatie door de WhatsApp-sessies en Outlook-accounts van slachtoffers te kapen. Dit is een distributiemodel dat traditionele e-mailgateways en op reputatie gebaseerde verdedigingsmiddelen slecht kunnen opvangen.”
