Menace de TCLBanker
Des hackers semblent cibler 59 plateformes bancaires, fintech et de cryptomonnaie, en se propageant à travers des applications populaires telles que WhatsApp et Outlook. Un cheval de Troie nommé TCLBanker infecte les systèmes Windows via des paquets d’installation Microsoft contaminés, selon un rapport de BleepingComputer. Cette menace a été découverte par Elastic Security Labs, dont les chercheurs estiment qu’il s’agit d’une évolution majeure des anciennes familles de malwares Maverick et Sorvepotel.
Fonctionnalités du Malware
Le rapport indique que TCLBanker vérifie les appareils infectés pour le fuseau horaire, la disposition du clavier et la langue locale. Ce malware comprend des modules de ver qui lui permettent de se propager automatiquement via WhatsApp et Microsoft Outlook. Une fois qu’un site ciblé est ouvert, le malware établit une session WebSocket avec son serveur de commande et de contrôle, et commence ses opérations de contrôle à distance.
Capacités de Contrôle
Les capacités de l’opérateur du malware incluent :
- Streaming d’écran en direct
- Capture d’écran
- Enregistrement des frappes
- Détournement du presse-papiers
- Exécution de commandes shell
- Accès au système de fichiers
- Contrôle à distance de la souris et du clavier
TCLBanker utilise également de faux écrans superposés pour collecter des identifiants, des codes PIN, des numéros de téléphone et d’autres informations sensibles. Ces superpositions peuvent inclure de fausses invites d’identifiants, des claviers numériques pour les codes PIN, des écrans d’attente du support bancaire, des écrans de mise à jour de Windows et de faux écrans de progression.
Ciblage Géographique
BleepingComputer indique que TCLBanker semble cibler des applications au Brésil et surveille la barre d’adresse du navigateur d’une victime chaque seconde, attendant des visites sur l’une de ses 59 plateformes ciblées.
