Aktuelle Bedrohung durch TCLBanker
Laut aktuellen Berichten haben Hacker 59 Banken-, Fintech- und Kryptowährungsplattformen ins Visier genommen und verbreiten ihre Malware über beliebte Anwendungen wie WhatsApp und Outlook. Ein Trojaner namens TCLBanker infiltriert Windows-Systeme über infizierte Microsoft-Installationspakete, wie BleepingComputer berichtet. Dieser Trojaner wurde von den Elastic Security Labs entdeckt, deren Forscher glauben, dass es sich um eine bedeutende Weiterentwicklung der älteren Malware-Familien Maverick und Sorvepotel handelt.
Funktionsweise von TCLBanker
Der Bericht beschreibt, dass TCLBanker infizierte Geräte hinsichtlich Zeitzone, Tastaturlayout und Gebietsschema überprüft. Die Malware enthält Wurm-Module, die es ihr ermöglichen, sich automatisch über WhatsApp und Microsoft Outlook zu verbreiten. Sobald eine angevisierte Webseite geöffnet wird, erstellt die Malware eine WebSocket-Sitzung mit ihrem Command-and-Control-Server und beginnt mit den Fernsteuerungsoperationen.
Fähigkeiten der Malware
Die Fähigkeiten der Malware umfassen:
- Live-Streaming des Bildschirms
- Screenshots
- Keylogging
- Clipboard-Hijacking
- Die Ausführung von Shell-Befehlen
- Zugriff auf das Dateisystem
- Fernsteuerung von Maus und Tastatur
TCLBanker verwendet zudem gefälschte Overlay-Bildschirme, um Zugangsdaten, PINs, Telefonnummern und andere sensible Informationen zu sammeln. Diese Overlays können gefälschte Eingabeaufforderungen für Zugangsdaten, PIN-Tastaturen, Warteschlangen für Bankunterstützung, Windows-Update-Bildschirme und gefälschte Fortschrittsanzeigen enthalten.
Zielgerichtete Angriffe
BleepingComputer berichtet, dass TCLBanker anscheinend gezielt Apps in Brasilien angreift und die Adressleiste des Browsers eines Opfers jede Sekunde überwacht, um Besuche einer der 59 angevisierten Plattformen zu erkennen.
