Hakkerit hyökkäävät pankki- ja kryptovaluuttapalveluihin
Raporttien mukaan hakkerit kohdistavat hyökkäyksiä 59 pankki-, fintech- ja kryptovaluuttapalveluun samalla, kun ne leviävät suosittujen sovellusten, kuten WhatsAppin ja Outlookin, kautta.
TCLBanker-troijalainen
TCLBanker-niminen troijalainen iskee Windows-järjestelmiin saastuneiden Microsoftin asennuspakettien kautta, raportoi BleepingComputer. Sen on löytänyt Elastic Security Labs, joiden tutkijat uskovat sen olevan merkittävä kehitys vanhemmasta Maverick– ja Sorvepotel-haittaohjelmaperheestä.
Toimintamekanismi
Raportin mukaan TCLBanker tarkistaa saastuneilta laitteilta aikavyöhykkeen, näppäimistön asettelun ja paikallisuuden. Haittaohjelma sisältää mato-moduuleja, jotka mahdollistavat sen leviämisen automaattisesti WhatsAppin ja Microsoft Outlookin kautta.
Kun kohdesivusto avataan, haittaohjelma luo WebSocket-istunnon komentopalvelimensa kanssa ja aloittaa etäohjaustoiminnot.
Operaattorin kyvyt
Haittaohjelman operaattorin kykyihin kuuluu:
- live-näytön suoratoisto
- kuvakaappausten ottaminen
- näppäinten tallentaminen
- leikepöydän kaappaaminen
- komentorivikäskyjen suorittaminen
- tiedostojärjestelmän käyttö
- etähiiren ja näppäimistön hallinta
Tietojen kerääminen
TCLBanker käyttää myös vääriä päällekkäisiä näyttöjä kerätäkseen tunnistetietoja, PIN-koodeja, puhelinnumeroita ja muuta arkaluontoista tietoa. Nämä päällekkäiset näytöt voivat sisältää:
- vääriä tunnistetietopyyntöjä
- PIN-näppäimistöjä
- pankin asiakastukijonotusnäyttöjä
- Windows-päivitysnäyttöjä
- vääriä edistymisnäyttöjä
BleepingComputerin mukaan TCLBanker näyttää kohdistavan sovelluksia Brasiliassa ja valvoo uhrin selaimen osoiteriviä joka sekunti sekä tarkkailee vierailuja yhdelle sen 59 kohdepalvelusta.
