Hackare riktar in sig på bank- och kryptovaluta-plattformar
Hackare riktar enligt uppgifter in sig på 59 bank-, fintech- och kryptovaluta-plattformar genom att sprida sig via populära applikationer som WhatsApp och Outlook. En trojan kallad TCLBanker angriper Windows-system genom förorenade installationspaket från Microsoft, rapporterar BleepingComputer.
TCLBanker och dess funktioner
Denne trojan har upptäckts av Elastic Security Labs, vars forskare anser att den representerar en betydande evolution av de äldre malwarefamiljerna Maverick och Sorvepotel. Rapporten anger att TCLBanker kontrollerar infekterade enheter för tidszon, tangentbordslayout och lokalisering.
Malwaret inkluderar moduler som gör att det kan sprida sig automatiskt via WhatsApp och Microsoft Outlook. När en målsida öppnas skapar malwaret en WebSocket-session med sin kommandocentral och inleder fjärrkontrolloperationer.
Operatörens kapabiliteter
Operatörens kapabiliteter omfattar:
- Live skärmdelning
- Skärmdumpar
- Tangenttryckningsloggning
- Stöld av urklipp
- Körning av kommandon i skalet
- Åtkomst till filsystemet
- Fjärrkontroll av mus och tangentbord
TCLBanker använder även falska överläggsskärmar för att samla in inloggningsuppgifter, PIN-koder, telefonnummer och annan känslig information. Dessa överlägg kan inkludera:
- Falska inloggningsuppmaningar
- PIN-tangentbord
- Bankstöd vänteskärmar
- Windows Update-skärmar
- Falska framstegsskärmar
BleepingComputer rapporterar att TCLBanker tycks rikta in sig på appar i Brasilien och övervakar offrets webbläsares adressfält varje sekund för att upptäcka besök på en av sina 59 målsidor.
