Les experts de Elastic Security Labs viennent de repérer un trojan bancaire inédit baptisé TCLBanker. Ce malware vise 59 applications liées à la banque, aux services financiers et aux cryptomonnaies. Il se déploie via un installateur MSI falsifié imitant le logiciel Logitech AI Prompt Builder.
Ce qui distingue particulièrement TCLBanker, ce sont ses modules de ver capables de se propager seuls par WhatsApp et Outlook, infectant ainsi de nouvelles machines sans intervention manuelle.
Les analystes estiment que ce trojan représente une avancée significative par rapport à la famille de malwares antérieurs Maverick et Sorvepotel. Pour l’instant, les attaques se concentrent sur le Brésil, en vérifiant la zone horaire, la disposition du clavier et les paramètres régionaux. Les malwares d’Amérique latine ont toutefois souvent élargi leur portée par le passé.
Les fonctions avancées de TCLBanker
TCLBanker résiste fortement aux outils d’analyse. Ses routines de déchiffrement de charge utile dépendent de l’environnement et s’arrêtent dans les bacs à sable ou chez les chercheurs. Un fil de surveillance permanent détecte les debuggers tels que x64dbg, IDA, dnSpy, Frida, ProcessHacker ou Ghidra.
Monitoring for targeted processes
Source: Elastic
Le malware s’exécute au sein du processus légitime de Logitech grâce à une technique de DLL side-loading, évitant ainsi les alertes des logiciels de sécurité. Bien que le chargeur propose de nombreuses options, elles restent basiques, avec des indices pointant vers une génération assistée par l’intelligence artificielle.
Le module bancaire scrute la barre d’adresse du navigateur toutes les secondes à l’aide des Windows UI Automation APIs. Dès qu’une plateforme ciblée s’ouvre, il initie une session WebSocket avec le serveur de commandement (C2). Il transmet les données de la victime et active un contrôle à distance.
Les opérateurs distants accèdent à ces outils :
- Diffusion en direct de l’écran
- Capture d’écrans
- Enregistrement des frappes
- Détournement du presse-papiers
- Exécution de commandes shell
- Gestion des fenêtres
- Accès au système de fichiers
- Énumération des processus
- Contrôle à distance de la souris et du clavier
Pendant ces sessions, le processus Task Manager est supprimé pour masquer les opérations malveillantes.
Pour voler des données, TCLBanker déploie des superpositions basées sur WPF : faux formulaires de connexion, claviers PIN virtuels, écrans d’attente de support bancaire, mises à jour Windows simulées ou barres de progression trompeuses. Des superpositions en encoche masquent des zones précises des applications réelles.
Generating a fake Windows update overlay
Source: Elastic
La propagation par WhatsApp et Outlook
TCLBanker étend son reach en exploitant les contacts des victimes. Pour WhatsApp, il fouille les profils de navigateurs Chromium à la recherche de données IndexedDB authentifiées, puis lance une instance cachée pour détourner le compte.
Hijacking WhatsApp accounts
Source: Elastic
Il extrait les contacts, ne garde que les numéros brésiliens, et expédie des messages piégés vers les sites de distribution du malware.
Pour Outlook, un module active l’automatisation COM : il ouvre l’application, collecte adresses et contacts, puis envoie des e-mails de phishing via le compte compromis.
Harvesting Outlook contacts
Source: Elastic