تروجان بانکی TCLBANKER با ماژول انتشار خودکار، از نشست‌های WhatsApp و Outlook قربانی برای اهداف مالی استفاده می‌کند

محققان امنیتی از شناسایی بدافزار پیشرفته‌ای با نام تروجان بانکی TCLBANKER در برزیل خبر داده‌اند. این بدافزار که توسط تیم Elastic تحت عنوان REF3076 ردیابی می‌شود، با هدف قرار دادن بیش از 59 پلتفرم بانکی، فین‌تک و صرافی رمز‌ارز، به یکی از خطرناک‌ترین تروجان‌های بانکی شناخته‌شده در سال جاری تبدیل شده است. به گفته‌ی پژوهشگران، تروجان بانکی TCLBANKER نسخه‌ای توسعه‌یافته از خانواده Maverick است و با ماژول انتشار خودکار، از نشست‌های WhatsApp و Outlook قربانی برای گسترش سریع میان کاربران استفاده‌ می‌کند.

تحلیل زنجیره آلودگی و مکانیزم لودر در تروجان بانکی TCLBANKER

فرآیند آلودگی تروجان بانکی TCLBANKER با فایل ZIP آغاز می‌شود که داخل آن یک نصب‌کننده‌ی MSI آلوده قرار دارد. این نصب‌کننده با سوءاستفاده از تکنیک DLL Side‑Loading در برنامه‌ی معتبر Logi AI Prompt Builder، فایل مخربی به نام screen_retriever_plugin.dll را بارگذاری می‌کند. این لودر دارای سیستم نظارتی پیشرفته‌ای (Watchdog Subsystem) است که به‌طور مداوم محیط سیستم را برای شناسایی ابزارهای تحلیل، دیباگرها، sandbox و آنتی‌ویروس‌ها بررسی می‌کند. در صورت شناسایی چنین ابزارهایی، پیلود رمزگشایی نشده و اجرا متوقف می‌شود تا از ردیابی و تحلیل جلوگیری گردد.

این بدافزار برای فرار از شناسایی، همه‌ی Hookهای سطح کاربر در فایل ntdll.dll را حذف کرده و مانیتورینگ ETW ویندوز را غیرفعال می‌کند. همچنین لودر بدافزار با بررسی پارامترهای محیطی از جمله اطلاعات دیسک، زبان سیستم (پرتغالی برزیلی) و وضعیت مجازی‌سازی، یک هش محیطی ایجاد کرده و فقط در صورت تطابق کامل آن، پیلود را رمزگشایی و اجرا می‌کند. در مرحله اولیه اجرا نیز برخی اطلاعات پایه سیستم از طریق درخواست‌های HTTP POST برای زیرساخت فرماندهی و کنترل (C2) مهاجم ارسال می‌شود.

قابلیت‌های جاسوسی و  حملات مالی

تروجان بانکی TCLBANKER پس از ایجاد پایداری (Persistence) در سیستم، از قابلیت خودکارسازی رابط کاربری (UI Automation) برای استخراج آدرس جاری مرورگرهای محبوب مانند  Chrome، Edge، Firefox، Brave، Opera و Vivaldi استفاده می‌کند. هرگاه قربانی به وب‌سایت‌های مالی هدف مراجعه کند، تروجان یک اتصال WebSocket با سرور فرماندهی و کنترل (C2) برقرار کرده و به اپراتور اجازه می‌دهد دستورات بلادرنگ زیر را اجرا کند:

• ثبت اسکرین‌شات لحظه‌ای
• استریم زنده صفحه نمایش
• سرقت اطلاعات کلیپ‌بورد
• اجرای Keylogger برای ثبت کلیدهای فشرده‌شده
• اجرای دستورات shell از راه دور
• مدیریت فایل‌ها و پردازه‌های سیستم
• شناسایی پنجره‌های فعال و برنامه‌های در حال اجرا

در ادامه، تروجان برای سرقت اطلاعات مالی از فریم‌ورک WPF جهت تولید صفحات جعلی تمام‌صفحه (Overlay) استفاده می‌کند. این صفحات ممکن است به صورت فرم‌های به‌روزرسانی ویندوز یا ورود به حساب بانکی ظاهر شوند تا کاربر را فریب داده و اطلاعات حساس او را استخراج کنند. این لایه‌ها از ابزارهای ضبط صفحه پنهان می‌مانند، بنابراین قربانی معمولاً هیچ فعالیت مشکوکی را تشخیص نمی‌دهد.

انتشار خودکار تروجان بانکی TCLBANKER از طریق WhatsApp و Outlook

ویژگی بارز TCLBANKER، ماژول انتشار خودکار (worm) آن است که از نشست‌های فعال WhatsApp و حساب Outlook قربانی برای گسترش بدافزار استفاده می‌کند. این ماژول با ربودن نشست احراز هویت‌شده قربانی، پیام‌ها و ایمیل‌های حاوی لینک آلوده را برای مخاطبین ارسال می‌کند. به‌این‌ترتیب، فیلترهای اسپم دور زده شده و عامل تهدید می‌تواند از اعتماد موجود بین کاربران برای گسترش آلودگی در ابعاد وسیع استفاده کند. در برخی موارد، این مکانیزم بیش از 3000 مخاطب را هدف قرار داده است.

جمع‌بندی

ظهور تروجان بانکی TCLBANKER نشانه‌ای از بلوغ فنی اکوسیستم بدافزارهای مالی در آمریکای لاتین است؛ جایی که حملات بانکی با تکنیک‌های پیشرفته‌ای مانند رمزگشایی وابسته به محیط، تعامل بلادرنگ از طریق WebSocket و مهندسی اجتماعی لحظه‌ای اجرا می‌شوند.

برای مقابله مؤثر با این نوع تهدیدات، لازم است سازمان‌ها راهکارهای چند‌لایه شامل مانیتورینگ مستمر ترافیک، تحلیل عملکرد کاربر و آموزش‌های تخصصی مقابله با مهندسی اجتماعی را به‌کار گیرند.

منابع