Attacco ai Sistemi Bancari e Fintech
I hacker stanno apparentemente prendendo di mira 59 piattaforme bancarie, fintech e di criptovaluta, diffondendosi attraverso applicazioni popolari come WhatsApp e Outlook. Un trojan chiamato TCLBanker sta colpendo i sistemi Windows tramite pacchetti di installazione Microsoft compromessi, come riportato da BleepingComputer.
Scoperta e Evoluzione del Malware
Questo malware è stato scoperto da Elastic Security Labs, i cui ricercatori ritengono che rappresenti un’evoluzione significativa delle vecchie famiglie di malware Maverick e Sorvepotel.
Funzionalità di TCLBanker
Il rapporto evidenzia che TCLBanker controlla i dispositivi infetti per fuso orario, layout della tastiera e impostazioni locali. Il malware include moduli worm che gli consentono di diffondersi automaticamente attraverso WhatsApp e Microsoft Outlook.
Una volta aperto un sito mirato, TCLBanker crea una sessione WebSocket con il suo server di comando e controllo, avviando operazioni di controllo remoto.
Capacità Operative del Malware
Le capacità operative del malware comprendono:
- Streaming dello schermo in tempo reale
- Cattura di screenshot
- Keylogging
- Dirottamento degli appunti
- Esecuzione di comandi shell
- Accesso al file system
- Controllo remoto di mouse e tastiera
TCLBanker utilizza anche schermi di sovrapposizione falsi per raccogliere credenziali, PIN, numeri di telefono e altre informazioni sensibili. Queste sovrapposizioni possono includere richieste di credenziali false, tastiere PIN, schermate di attesa per il supporto bancario, schermate di aggiornamento di Windows e schermate di progresso ingannevoli.
Obiettivi e Monitoraggio
BleepingComputer riporta che TCLBanker sembra mirare a applicazioni in Brasile e monitora la barra degli indirizzi del browser di una vittima ogni secondo, osservando le visite a una delle sue 59 piattaforme target.
