TCLBANKER Banking Trojan
Cybersicherheitsforscher haben einen bisher unbekannten brasilianischen Banking-Trojaner namens TCLBANKER entdeckt. Diese hochentwickelte Malware zielt auf 59 Banken, Fintech-Unternehmen und Kryptowährungsplattformen ab. Die Kampagne wird derzeit unter dem Namen REF3076 geführt und stellt vermutlich eine bedeutende Weiterentwicklung der berüchtigten Maverick-Malware-Familie dar, die zuvor mit dem Water-Saci-Bedrohungscluster in Verbindung gebracht wurde.
TCLBANKER erweitert frühere Angriffsmethoden durch die Integration fortschrittlicher Anti-Analyse-Mechanismen, einer auf Tarnung ausgerichteten Nutzlastübermittlung und der Fähigkeit zur großflächigen Verbreitung über kompromittierte Kommunikationsplattformen.
Inhaltsverzeichnis
Eine heimtückische Infektionskette, die zur Vermeidung entwickelt wurde
Der Angriff beginnt mit einem manipulierten ZIP-Archiv, das ein MSI-Installationsprogramm enthält, welches eine rechtmäßig signierte Logitech-Anwendung namens Logi AI Prompt Builder missbraucht. Durch DLL-Sideloading zwingt die Schadsoftware die vertrauenswürdige Anwendung, eine schädliche Bibliothek namens „screen_retriever_plugin.dll“ zu laden, die als primärer Loader fungiert.
Dieser Loader verfügt über ein umfangreiches Überwachungssystem, das speziell zur Vermeidung von Erkennung entwickelt wurde. Es scannt kontinuierlich Sicherheits- und Analyseumgebungen, darunter Debugger, Antivirenprogramme, Disassembler, Sandboxes und Instrumentierungswerkzeuge. Die Ausführung erfolgt nur, wenn die DLL von autorisierten Prozessen wie „logiaipromptbuilder.exe“ oder „tclloader.exe“ gestartet wird, wobei letzterer wahrscheinlich mit internen Tests verknüpft ist.
Um die Sicherheitsüberwachung weiter zu umgehen, entfernt die Malware Benutzermodus-Hooks in der Datei „ntdll.dll“, die von Endpoint-Protection-Lösungen platziert wurden, und deaktiviert die Ereignisverfolgung für Windows (ETW). Sie erstellt außerdem mehrere System-Fingerabdrücke basierend auf Anti-Debugging-Prüfungen, Virtualisierungserkennung, Festplatteninformationen und den Spracheinstellungen des Betriebssystems. Diese Fingerabdrücke generieren einen Umgebungshash, der zur Entschlüsselung der eingebetteten Payload verwendet wird.
Die Schadsoftware prüft gezielt, ob das Zielsystem brasilianisches Portugiesisch verwendet. Jegliche Anzeichen von Debugging oder Analyse führen zu einem falschen Hashwert, wodurch die erfolgreiche Entschlüsselung der Nutzdaten verhindert und die Ausführung vollständig abgebrochen wird.
Banking-Trojaner-Funktionen zur vollständigen Systemkontrolle
Nach Abschluss der Anti-Analyse-Prüfungen wird der primäre Banking-Trojaner eingesetzt. Nachdem bestätigt wurde, dass das System einem brasilianischen Nutzer gehört, etabliert die Schadsoftware Persistenz durch geplante Aufgaben und kontaktiert einen externen Command-and-Control-Server mittels HTTP-POST-Anfragen, die Systeminformationen enthalten.
TCLBANKER verfügt über eine Selbstaktualisierungsfunktion und überwacht aktiv die Browseraktivität, indem es URLs aus der Adressleiste des Vordergrundbrowsers mittels UI-Automatisierungstechniken extrahiert. Die Malware zielt auf weit verbreitete Browser ab, darunter:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Mutig
- Oper
- Vivaldi
Wird eine überwachte Bank- oder Kryptowährungswebsite erkannt, öffnet TCLBANKER eine WebSocket-Verbindung zu einem Remote-Server und startet eine Befehlsausführungsschleife. Dies ermöglicht Angreifern, aus der Ferne eine Vielzahl schädlicher Aktivitäten durchzuführen, darunter Systemaufklärung, Manipulation der Zwischenablage, Keylogging, Screenshot-Erstellung, Bildschirmübertragung, Fernsteuerung von Maus und Tastatur, Prozessmanagement und die Bereitstellung gefälschter Overlays zum Abgreifen von Anmeldeinformationen.
Fortgeschrittenes Social Engineering und Diebstahl von Zugangsdaten
TCLBANKER setzt stark auf Social Engineering, um sensible Daten zu stehlen. Die Schadsoftware verwendet ein auf Windows Presentation Foundation (WPF) basierendes Vollbild-Overlay-Framework, das äußerst überzeugende Phishing-Oberflächen darstellen kann. Diese Overlays imitieren legitime Banking-Aufforderungen, gefälschte Windows-Updates, Fortschrittsbalken und Wartebildschirme für Voice-Phishing, um Opfer zur Preisgabe ihrer Zugangsdaten zu verleiten.
Besonders bemerkenswert ist, dass die Overlays für Bildschirmaufnahmeprogramme unsichtbar sind, was die Erkennung und forensische Analyse erheblich erschwert.
WhatsApp und Outlook wurden zu Malware-Verbreitungswerkzeugen
Neben dem Banking-Trojaner installiert der Loader eine Wurmkomponente, die die Infektion massenhaft über WhatsApp Web und Microsoft Outlook verbreitet. Das WhatsApp-Modul kapert authentifizierte Browsersitzungen und nutzt das Open-Source-Projekt WPPConnect, um Nachrichten automatisch an die Kontakte der Opfer zu senden. Um die Zielgenauigkeit zu erhöhen, filtert die Malware Gruppenchats, Verteilerlisten und nicht-brasilianische Telefonnummern heraus.
Die Outlook-Komponente fungiert als Phishing-Spambot, indem sie die installierte Microsoft Outlook-Anwendung des Opfers missbraucht, um direkt von dessen E-Mail-Adresse aus schädliche E-Mails zu versenden. Da diese Nachrichten von legitimen Konten und vertrauenswürdiger Infrastruktur stammen, haben herkömmliche Spamfilter und reputationsbasierte Sicherheitssysteme Schwierigkeiten, die schädliche Aktivität zu erkennen.
Berichten zufolge kann die Malware über kompromittierte WhatsApp-Sitzungen und Outlook-Konten bis zu 3.000 Kontakte mit Spam belästigen und so die Reichweite der Kampagne drastisch erhöhen, während gleichzeitig bestehende Vertrauensverhältnisse zwischen den Opfern und ihren Kontakten ausgenutzt werden.
Anzeichen einer sich ausweitenden Bedrohungslandschaft
Forscher gehen davon aus, dass sich REF3076 noch in der frühen Phase befindet. Hinweise wie Debug-Protokollierungspfade, eine unfertige Phishing-Infrastruktur und Testprozessnamen deuten darauf hin, dass die Betreiber die Kampagne weiter verfeinern und ausweiten.
TCLBANKER hebt zudem die rasante Entwicklung im brasilianischen Malware-Ökosystem für Banken hervor. Techniken, die einst nur hochspezialisierten Angreifern vorbehalten waren, tauchen nun auch bei gängigen Cyberkriminalitätsoperationen auf. Zu diesen Fähigkeiten gehören:
- Umgebungsbasierte Nutzdatenentschlüsselung
- Direkte Systemaufrufgenerierung
- Social Engineering in Echtzeit über WebSockets
- Verbreitung vertrauenswürdiger Nachrichten über gehackte Kommunikationsplattformen
Durch den Missbrauch legitimer WhatsApp- und Outlook-Sitzungen umgeht TCLBANKER viele herkömmliche Sicherheitsvorkehrungen. Die Kampagne verdeutlicht, wie moderne Banking-Trojaner zunehmend ausgefeilte Tarnungs-, Automatisierungs- und Social-Engineering-Techniken kombinieren, um hochgradig widerstandsfähige und skalierbare Cyberkriminalitätsoperationen zu ermöglichen.
