Атака на банковские и финансовые платформы
Хакеры нацелились на 59 банковских, финтех и криптовалютных платформ, используя популярные приложения, такие как WhatsApp и Outlook, для распространения вредоносного ПО. Троян под названием TCLBanker атакует системы Windows через зараженные установочные пакеты Microsoft, как сообщает BleepingComputer.
Эволюция вредоносного ПО
Он был обнаружен в лабораториях Elastic Security, где исследователи считают его значительной эволюцией более старых семейств вредоносных программ, таких как Maverick и Sorvepotel.
Функции TCLBanker
В отчете говорится, что TCLBanker проверяет зараженные устройства на наличие часового пояса, раскладки клавиатуры и локали. Вредоносное ПО включает модули червя, которые позволяют ему автоматически распространяться через WhatsApp и Microsoft Outlook.
Как только целевой сайт открыт, вредоносное ПО создает сессию WebSocket с сервером управления и начинает операции удаленного контроля.
Возможности удаленного контроля
Возможности оператора вредоносного ПО включают:
- потоковую передачу экрана в реальном времени,
- создание скриншотов,
- запись нажатий клавиш,
- перехват буфера обмена,
- выполнение команд оболочки,
- доступ к файловой системе,
- удаленный контроль мыши и клавиатуры.
TCLBanker также использует поддельные экраны наложения для сбора учетных данных, PIN-кодов, номеров телефонов и другой конфиденциальной информации. Эти наложения могут включать:
- поддельные запросы учетных данных,
- клавиатуры PIN,
- экраны ожидания поддержки банка,
- экраны обновления Windows,
- поддельные экраны прогресса.
BleepingComputer сообщает, что TCLBanker, похоже, нацеливается на приложения в Бразилии и отслеживает адресную строку браузера жертвы каждую секунду, наблюдая за посещениями одной из своих 59 целевых платформ.
