Специалисты в области кибербезопасности из Elastic Security Labs обнаружили новую вредоносную программу под названием TCLBanker, представляющую серьёзную угрозу для банковских, финансовых и криптовалютных сервисов. Этот банковский троян привлёк внимание экспертов своей уникальной способностью обходить антивирусное программное обеспечение и автономно распространяться через мессенджер WhatsApp*, что значительно повышает его опасность и потенциал заражения.
Исследование показало, что троян нацелен как минимум на 59 различных банковских и финтех-платформ, демонстрируя широкий спектр атакуемых целей. Основным вектором заражения является MSI-установщик, который маскируется под легитимную утилиту Logitech AI Prompt Builder. После запуска этого установщика, вредоносная программа внедряется в законное приложение Logitech путём подгрузки DLL-библиотек. Эта техника позволяет TCLBanker эффективно скрываться от систем защиты, работая под прикрытием доверенного процесса.
При попытке пользователя открыть сайт банка или другого финансового сервиса, троян устанавливает соединение с удалённым командным сервером (C2) и передаёт злоумышленникам детальную информацию о заражённой системе. После успешной компрометации, операторы трояна получают в своё распоряжение обширный набор инструментов для слежки и кражи данных. В частности, они могут осуществлять просмотр экрана жертвы в режиме реального времени, делать скриншоты, перехватывать нажатия клавиш (кейлоггинг), получать доступ к содержимому буфера обмена, а также удалённо управлять мышью и клавиатурой. Кроме того, предусмотрена возможность исполнения произвольных команд и прямой доступ к файловой системе устройства.
Для сокрытия своей активности TCLBanker способен принудительно завершать работу диспетчера задач Windows, лишая пользователя возможности отследить подозрительные процессы. Сама кража конфиденциальных данных реализуется через поддельные интерфейсы и фишинговые формы авторизации. Жертве могут демонстрироваться реалистичные подложки, имитирующие окна банков, запросы на ввод PIN-кода, экраны технической поддержки или даже ложные уведомления об обновлении операционной системы Windows.
Наиболее примечательной особенностью TCLBanker является наличие отдельного модуля для самораспространения через WhatsApp*. Этот модуль ищет на устройстве данные привязанного аккаунта мессенджера, после чего запускает скрытый экземпляр браузера и автоматически рассылает заражённые сообщения всем контактам из адресной книги жертвы. Эксперты настоятельно рекомендуют пользователям проявлять повышенную бдительность при установке любого программного обеспечения, особенно из непроверенных источников, и незамедлительно реагировать на нестандартное поведение компьютеров и мобильных устройств, такое как самопроизвольное открытие окон или замедление работы.