Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Новиот малициозен софтвер TCLBanker сам се шири преку WhatsApp и Outlook

Објавено: 08.05.2026

Нов тројанец наречен TCLBanker, кој таргетира 59 банкарски, fintech и криптовалутни платформи, користи заразен MSI инсталер за Logitech AI Prompt Builder за да инфицира системи.

Дополнително, малициозниот софтвер содржи worm-модули за WhatsApp и Outlook кои автоматски се шират и инфицираат нови жртви.

Новиот банкарски тројанец е откриен од Elastic Security Labs, чии истражувачи веруваат дека претставува значителна еволуција на постарата фамилија на малициозен софтвер Maverick/Sorvepotel.

Иако TCLBanker моментално е фокусиран главно на Бразил — проверувајќи временска зона, распоред на тастатура и локализација на системот — LATAM малициозните софтвери и претходно биле надградувани за да таргетираат поширок круг на жртви, па затоа постои реален ризик заканата да се прошири и во други региони.

Способности на TCLBanker

Elastic предупредува дека TCLBanker е исклучително добро заштитен од анализа и дебагирање, користејќи рутини за дешифрирање на payload кои зависат од околината и не функционираат во sandbox или аналитички средини.

Исто така, тројанецот извршува постојан watchdog процес кој непрекинато бара алатки за анализа како x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot и други.

Следење на таргетирани процеси

Малициозниот софтвер се вчитува во контекст на легитимната Logitech апликација преку DLL side-loading техника, па затоа не активира аларми кај безбедносните решенија што го штитат заразениот систем.

Истражувачите забележуваат дека, иако loader-компонентата има многу функции, ниту една не е навистина особено напредна, а одредени делови од кодот укажуваат дека можеби била користена вештачка интелигенција при развојот.

Банкарскиот модул ја следи адресната лента на прелистувачот секоја секунда преку Windows UI Automation API, проверувајќи дали жртвата отвора веб-страница од некоја од 59-те таргетирани платформи.

Кога тоа ќе се случи, тројанецот воспоставува WebSocket конекција со command-and-control (C2) серверот, испраќа информации за жртвата и системот и започнува операции за далечинска контрола.

Можностите што им се овозможени на напаѓачите вклучуваат:

  • Пренос во живо на екранот
  • Правење screenshots
  • Keylogging (снимање на внесените тастери)
  • Кражба и менување на clipboard содржина
  • Извршување shell команди
  • Управување со прозорци
  • Пристап до фајл системот
  • Листање активни процеси
  • Далечинска контрола на глувче и тастатура

За време на активни сесии, процесот на Task Manager се гаси за да се спречат прекини и да се сокрие злонамерната активност од жртвата.

За поддршка на кражба на податоци, TCLBanker користи overlay систем базиран на WPF кој може да прикажува лажни прозорци и форми, како:

  • Лажни барања за внес на лозинки
  • Лажни PIN тастатури
  • Форми за собирање телефонски броеви
  • Лажни екрани за „банкарска поддршка“
  • Лажни Windows Update екрани
  • Различни лажни екрани за прогрес

Постојат и таканаречени „cutout“ overlay-и кои остануваат над сите прозорци, дозволувајќи само одредени делови од вистинските апликации да бидат видливи за жртвата, додека останатите делови се сокриени.

Генерирање лажен Windows Update overlay

WhatsApp и Outlook worm-модули

Интересен аспект на TCLBanker е неговата способност самостојно да се шири до контактите поврзани со примарната жртва.

Малициозниот софтвер пребарува Chromium browser профили за автентицирани WhatsApp Web IndexedDB податоци, а потоа стартува скриена Chromium инстанца која ја презема контролата над WhatsApp сметката на жртвата.

Преземање контрола над WhatsApp сметки

Потоа, малициозниот софтвер ги собира контактите, филтрира броеви од Бразил и им испраќа spam пораки преку WhatsApp сметката на жртвата, насочувајќи ги кон платформи за ширење на TCLBanker.

Друг worm-модул го злоупотребува Microsoft Outlook преку COM automation, при што ја стартува апликацијата, ги собира контактите и адресите на испраќачите и испраќа phishing пораки преку email сметката на жртвата.

Собирање Outlook контакти

Elastic заклучува дека TCLBanker е типичен пример за еволуцијата на LATAM малициозниот софтвер, нудејќи им на помалку напредните сајбер-криминалци функции кои порано биле достапни само во многу софистицирани алатки.

Извори:

  • Bleeping Computer – New TCLBanker malware self-spreads over WhatsApp and Outlook Bleeping Computer