Các chuyên gia săn tìm mối đe dọa đã phát hiện một trojan ngân hàng Brazil chưa từng được ghi nhận trước đây có tên là TCLBANKER, có khả năng tấn công 59 nền tảng ngân hàng, fintech và tiền điện tử.
Hoạt động này đang được Elastic Security Labs theo dõi dưới định danh REF3076. Họ đánh giá đây là một bản cập nhật lớn của dòng mã độc Maverick, vốn nổi tiếng với việc sử dụng sâu (worm) mang tên SORVEPOTEL để phát tán qua WhatsApp Web tới danh bạ của nạn nhân. Chiến dịch Maverick được gán cho một nhóm đe dọa mà Trend Micro gọi là Water Saci.
Cốt lõi của chuỗi tấn công là một loader với khả năng chống phân tích mạnh mẽ, triển khai hai mô-đun nhúng: một trojan ngân hàng đầy đủ tính năng và một thành phần sâu máy tính sử dụng WhatsApp và Microsoft Outlook để lây lan.
"Chuỗi lây nhiễm được quan sát thấy bao gồm một trình cài đặt MSI độc hại được đóng gói trong tệp ZIP," các nhà nghiên cứu bảo mật Jia Yu Chan, Daniel Stepanic, Seth Goodwin và Terrance DeJesus cho biết. "Các gói cài đặt MSI này đang lạm dụng một chương trình Logitech hợp pháp có chữ ký số là Logi AI Prompt Builder."
Mã độc tận dụng kỹ thuật DLL side-loading nhắm vào ứng dụng để khởi chạy một DLL độc hại ("screen_retriever_plugin.dll"). Tập tin này hoạt động như một loader với "hệ thống giám sát (watchdog) toàn diện", liên tục theo dõi các công cụ phân tích, sandboxes, debuggers, disassemblers, công cụ đo lường và phần mềm antivirus để tránh bị phát hiện.
Cụ thể, DLL độc hại sẽ chỉ thực thi nếu nó được tải bởi "logiaipromptbuilder.exe" (chương trình của Logitech) hoặc "tclloader.exe" (có khả năng là tệp thực thi được sử dụng trong quá trình thử nghiệm). Nó cũng loại bỏ bất kỳ usermode hooks nào được đặt bởi phần mềm bảo mật đầu cuối trong "ntdll.dll" bằng cách thay thế thư viện và vô hiệu hóa telemetry của Event Tracing for Windows (ETW).
Cơ chế chống phân tích và nhắm mục tiêu
Hơn thế nữa, mã độc tạo ra ba dấu vân tay (fingerprints) dựa trên các lần kiểm tra chống debugging và chống ảo hóa, kiểm tra thông tin đĩa hệ thống và kiểm tra ngôn ngữ. Chúng được sử dụng để tạo ra một giá trị hash môi trường dùng để giải mã payload được nhúng. Việc kiểm tra ngôn ngữ hệ thống đảm bảo rằng ngôn ngữ mặc định của người dùng là tiếng Bồ Đào Nha (Brazil).
"Ví dụ, nếu một debugger hiện diện, nó sẽ tạo ra một mã hash không chính xác. Khi mã độc cố gắng lấy khóa giải mã từ mã hash đó, payload sẽ không được giải mã đúng cách và TCLBANKER sẽ ngừng thực thi," Elastic giải thích.
Thành phần chính được khởi chạy sau các bước kiểm tra này là trojan ngân hàng. Nó sẽ xác minh một lần nữa xem có đang chạy trên hệ thống của Brazil hay không, sau đó tiến hành thiết lập sự hiện diện lâu dài (persistence) bằng cách sử dụng scheduled task. Tiếp theo, nó gửi tín hiệu (beacon) đến một máy chủ bên ngoài bằng yêu cầu HTTP POST chứa thông tin cơ bản của hệ thống.
TCLBANKER cũng tích hợp cơ chế tự cập nhật và một trình giám sát URL để trích xuất URL hiện tại từ thanh địa chỉ của trình duyệt đang mở bằng cách sử dụng UI Automation. Bước này nhắm vào các trình duyệt phổ biến như Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera và Vivaldi.
Khả năng kiểm soát và đánh cắp dữ liệu
URL được trích xuất sẽ được so khớp với danh sách cứng các tổ chức tài chính mục tiêu. Nếu khớp, nó sẽ thiết lập kết nối WebSocket tới máy chủ từ xa và bắt đầu vòng lặp điều phối lệnh, cho phép kẻ tấn công thực hiện một loạt các tác vụ:
- Chạy các lệnh shell
- Chụp ảnh màn hình
- Bắt đầu/dừng truyền phát màn hình
- Thao tác với clipboard
- Khởi chạy keylogger
- Điều khiển chuột/bàn phím từ xa
- Quản lý tệp và tiến trình
- Liệt kê các tiến trình đang chạy
- Liệt kê các cửa sổ đang hiển thị
- Hiển thị các lớp phủ (overlays) giả mạo để đánh cắp thông tin đăng nhập
Để thực hiện hành vi trộm cắp dữ liệu, TCLBANKER dựa trên một khung lớp phủ toàn màn hình dựa trên Windows Presentation Foundation (WPF) để thực hiện kỹ thuật xã hội (social engineering), sử dụng các lời nhắc thu thập thông tin xác thực, màn hình chờ vishing, thanh tiến trình giả mạo và các thông báo Windows Updates giả, đồng thời ẩn các lớp phủ này khỏi các công cụ chụp màn hình.
Lây lan qua sâu WhatsApp và Outlook
Song song đó, loader kích hoạt mô-đun sâu (worming module) để phát tán trojan qua các tin nhắn spam và phishing ở quy mô lớn. Nó sử dụng phương pháp tiếp cận hai hướng bao gồm một sâu WhatsApp Web chiếm đoạt các phiên trình duyệt đã xác thực và một bot email Outlook lạm dụng Microsoft Outlook để gửi email giả mạo tới danh bạ của nạn nhân.
Giống như trường hợp của SORVEPOTEL, sâu WhatsApp lấy một mẫu tin nhắn từ máy chủ và tận dụng dự án mã nguồn mở WPPConnect để tự động gửi tin nhắn cho người dùng khác, đồng thời lọc bỏ các nhóm, tin nhắn quảng bá và các số điện thoại không phải của Brazil.
Mặt khác, Outlook agent là một bot chuyên gửi thư rác email. Nó lạm dụng ứng dụng Microsoft Outlook được cài đặt của nạn nhân để gửi email phishing từ địa chỉ email của chính họ, từ đó vượt qua các bộ lọc spam và tạo ra sự tin tưởng giả tạo cho thông điệp.
"TCLBANKER chiếm đoạt phiên làm việc WhatsApp và tài khoản Outlook của nạn nhân để gửi thư rác tới tối đa 3.000 liên hệ với trình cài đặt đã bị chèn mã độc. Điều này giúp gửi mã độc từ chính tài khoản của nạn nhân, thông qua danh bạ của họ, sử dụng cơ sở hạ tầng hợp pháp," một phát ngôn viên của Elastic nói với The Hacker News. Các cổng bảo mật email truyền thống và các biện pháp phòng thủ dựa trên danh tiếng hoàn toàn bị vô hiệu hóa trước kỹ thuật này.
REF3076 dường như đang ở giai đoạn vận hành ban đầu, với các đường dẫn ghi nhật ký gỡ lỗi (debug logging), tên tiến trình thử nghiệm và một trang web phishing chưa hoàn chỉnh hiện diện trong mã nguồn. Điều này cho thấy chiến dịch vẫn đang được hoàn thiện và có thể tiếp tục phát triển theo thời gian.
Elastic kết luận: "TCLBANKER phản ánh sự trưởng thành rộng lớn hơn đang diễn ra trong hệ sinh thái trojan ngân hàng Brazil. Các kỹ thuật vốn từng là dấu ấn của các tác nhân đe dọa tinh vi hơn như giải mã payload bị giới hạn bởi môi trường, tạo syscall trực tiếp, điều phối kỹ thuật xã hội theo thời gian thực qua WebSocket, hiện đang được đóng gói thành các sản phẩm tội phạm mạng thương mại."
