巴西新型银行木马TCLBANKER劫持通讯账户传播
安全研究人员发现一款名为TCLBANKER的新型巴西银行木马。该木马感染设备后会接管受害者的WhatsApp和Outlook账户,并向其联系人发送钓鱼信息。此次攻击活动被标记为REF3076。基于共用的基础设施与代码模式,研究人员将TCLBANKER与先前已知的恶意软件家族MAVERICK/SORVEPOTEL相关联。
通过AI工具安装包传播
该恶意软件伪装成Logi AI提示构建器的官方安装程序进行传播,该安装程序实际为经过签名的正规罗技应用。安装包以ZIP压缩文件形式分发,通过DLL侧加载技术运行伪装成Flutter插件的恶意文件。加载后,木马会释放两个受.NET Reactor保护的有效负载:其一是银行窃密模块,其二是用于自我传播的蠕虫模块。
恶意文件目录内容示例
多重反分析机制阻碍检测
TCLBANKER加载器通过三个维度构建指纹验证:反调试检查、磁盘内存信息监测以及系统语言设置。该指纹用于生成解密嵌入负载的密钥。若检测到调试器附着、沙箱环境或磁盘空间不足等异常情况,解密过程将输出乱码,恶意软件会自动静默终止运行。
加载器还会修补Windows遥测功能以规避安全工具检测,并通过创建直接系统调用跳板来避开用户态钩子。其内置监控程序持续扫描x64dbg、Ghidra、dnSpy等分析工具进程,一旦发现即停止恶意负载运行。
银行模块精准定位巴西用户
银行窃密模块仅在位于巴西的设备上激活,其通过至少两重地理围栏检查,验证区域代码、时区、系统区域及键盘布局等参数。该模块利用Windows UI自动化技术读取浏览器地址栏信息,支持Chrome、Firefox、Edge等主流浏览器,并以每秒一次的频率监控活动网址。
木马将监测到的网址与59个加密目标网址列表进行匹配,该列表涵盖巴西境内的加密货币平台、银行及金融科技网站。当受害者访问目标网站时,恶意软件会与远程服务器建立WebSocket连接,攻击者随即获得设备的完整远程控制权。
控制建立后,攻击者会通过覆盖层在所有显示器前端显示无边框置顶窗口。该覆盖层在截图中不可见,且能阻止受害者向他人共享屏幕内容。攻击者提供的覆盖层包含三种模板:附带虚假巴西电话号码的凭证窃取表单、伪造的Windows更新进度界面,以及消耗受害者注意力的"语音钓鱼等待屏幕"。
通讯平台蠕虫式传播
第二个负载模块通过两种途径扩散木马:WhatsApp网页版与Outlook邮箱系统。WhatsApp机器人通过定位Chromium浏览器的本地数据库目录,查找活跃的WhatsApp Web会话。随后克隆浏览器配置文件并启动无头Chromium实例,通过注入JavaScript代码绕过机器人检测机制,最终窃取受害者联系人列表并发送携带TCLBANKER安装程序的钓鱼消息。
Outlook机器人则通过COM自动化技术连接邮箱系统,从联系人文件夹和收件箱历史中提取邮件地址,利用受害者账户发送主题为"电子发票可打印"的钓鱼邮件。邮件中嵌入仿冒巴西ERP平台的钓鱼域名链接。由于邮件发自真实账户,此类攻击更易绕过垃圾邮件过滤系统。
近期安全报告显示,已出现针对超过800款加密货币、银行及社交媒体应用的安卓木马家族,通过虚假登录覆盖层窃取信息。另有名为StepDrainer的恶意软件通过伪造Web3钱包连接界面,在全球超过20个区块链网络中进行资产窃取。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注