新たなマルウェア「TCLBanker」がWhatsAppとOutlookで自己拡散

59のバンキング、フィンテック、暗号通貨プラットフォームを狙うTCLBankerと名付けられた新たなトロイの木馬は、ロジテックAIプロンプトビルダーのトロイの木馬化されたMSIインストーラーを使用してシステムを感染させる。

さらに、このマルウェアにはWhatsAppとOutlook用の自己拡散型ワームモジュールが含まれており、新たな被害者を自動的に感染させます。

この新しいバンキング型トロイの木馬はElastic Security Labsによって発見されたもので、その研究者は、古いMaverick/Sorvepotelマルウェア・ファミリーの大きな進化であると考えている。

TCLBankerは現在ブラジルに焦点を当てており、特にタイムゾーン、キーボードレイアウト、ロケールをチェックしているようですが、LATAMマルウェアは過去にもターゲット範囲を広げるためにアップデートされており、脅威が拡大するリスクは現実的です。

Table of contents

TCLBankerの機能

Elastic社は、TCLBankerは、サンドボックスやアナリスト環境では失敗する環境依存のペイロード復号化ルーチンを特徴とし、解析やデバッグに対して非常によく保護されていると警告しています。

また、x64dbg、IDA、dnSpy、Frida、ProcessHacker、Ghidra、de4dotなどの解析ツールを継続的にハントする永続的なウォッチドッグスレッドも実行します。

このマルウェアは、DLLのサイドローディングによって正規のLogitechアプリケーションのコンテキスト内にロードされるため、感染したホストを保護するセキュリティ製品からアラームが発せられることはありません。

研究者は、このローダーは豊富な機能を備えているものの、真に高度なものには程遠く、コードのアーティファクトから、開発にAIが使用された可能性があると指摘しています。

バンキング・モジュールは、Windows UI Automation APIを使用してブラウザのアドレスバーを毎秒監視し、被害者が標的とする59のプラットフォームのうちの1つのウェブサイトを開くタイミングを監視する。

そうなると、コマンド・アンド・コントロール（C2）とWebSocketセッションを確立し、被害者とシステム情報を送信し、遠隔操作を開始する。

オペレーターに与えられる機能は以下の通り：

アクティブなセッション中は、混乱を防ぎ、悪意のある活動を被害者から隠すために、タスクマネージャプロセスは強制終了されます。

データ窃盗をサポートするために、TCLBankerはWPFベースのオーバーレイシステムを使用し、偽のクレデンシャルプロンプト、PINキーパッド、電話番号収集フォーム、偽の「銀行サポート」待機画面、偽のWindows Update画面、および様々な偽の進行画面を被害者にプッシュすることができます。

また、実際のアプリケーションの選択された部分のみが被害者に表示され、他の部分はマスクされる「カットアウト」オーバーレイもあります。

TCLBankerの興味深い点は、主要な被害者にリンクされた連絡先に自律的に伝播する能力です。

このマルウェアはChromiumブラウザのプロファイルから認証済みのWhatsApp Web IndexedDBデータを検索し、被害者のアカウントを乗っ取る隠しChromiumインスタンスを起動します。

その後、連絡先を収集し、ブラジルの番号をフィルタリングして、被害者のアカウントからスパムメッセージを送信し、TCLBankerの配信プラットフォームに誘導する。

別のワーム・モジュールは、COMオートメーションを通じてMicrosoft Outlookを悪用し、アプリを起動させて連絡先と送信者アドレスを採取し、被害者の電子メール・アカウントを通じてフィッシング・メールを送信する。

Elastic社は、TCLBankerはLATAMマルウェアの進化の特徴的な例であり、かつては高度に洗練されたツールでしか利用できなかった機能を低レベルのサイバー犯罪者に提供していると結論付けています。

出典：https://www.bleepingcomputer.com/news/security/new-tclbanker-malware-self-spreads-over-whatsapp-and-outlook/