it

새로운 TCLBanker 악성코드가 WhatsApp 및 Outlook을 통해 자체 전파

발행: (2026년 5월 8일 AM 07:06 GMT+9)
6 분 소요
원문: Bleeping Computer

Source: Bleeping Computer

개요

새로운 트로이목마 TCLBanker는 59개의 은행, 핀테크 및 암호화폐 플랫폼을 표적으로 하며, Logitech AI Prompt Builder용 트로이목마화된 MSI 설치 프로그램을 사용해 시스템을 감염시킵니다. 이 악성코드에는 WhatsApp 및 Outlook용 자체 확산 웜 모듈도 포함되어 있어 새로운 피해자를 자동으로 감염시킵니다.

새로운 은행 트로이목마는 Elastic Security Labs에 의해 발견되었습니다, 연구원들은 이것이 이전 Maverick/Sorvepotel 악성코드 계열의 주요 진화라고 보고 있습니다. 현재 TCLBanker는 브라질에 집중된 것으로 보이며(시간대, 키보드 레이아웃, 로케일 확인), LATAM 지역의 악성코드는 과거에 대상 범위를 확대하도록 업데이트된 바 있습니다, 따라서 위협이 확산될 위험은 현실적입니다.

TCLBanker 기능

Elastic은 TCLBanker가 분석 및 디버깅에 대해 매우 강력하게 보호되어 있으며, 샌드박스나 분석가 환경에서는 실패하는 환경‑의존적 페이로드 복호화 루틴을 특징으로 한다고 경고합니다. 또한 지속적인 워치독 스레드를 실행해 x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot 등과 같은 분석 도구를 지속적으로 탐지합니다.


대상 프로세스 모니터링 – Source: Elastic

이 악성코드는 정품 Logitech 애플리케이션의 컨텍스트 내에서 DLL 사이드‑로드를 통해 로드되므로, 감염된 호스트를 보호하는 보안 제품에서 알람을 발생시키지 않습니다. 로더는 기능이 풍부하지만 실제로 고급이라고 보기는 어렵습니다; 코드 흔적을 보면 개발에 AI가 사용되었을 가능성이 있습니다.

뱅킹 모듈은 Windows UI Automation API를 사용해 브라우저 주소 표시줄을 매초 모니터링하고, 피해자가 59개의 대상 플랫폼 중 하나의 웹사이트를 열면 이를 감지합니다. 그런 경우, 명령‑및‑제어(C2) 서버와 WebSocket 세션을 설정하고, 피해자 및 시스템 정보를 전송한 뒤 원격 제어 작업을 시작합니다.

운영자가 사용할 수 있는 기능

  • 실시간 화면 스트리밍
  • 스크린샷 캡처
  • 키 로깅
  • 클립보드 탈취
  • 셸 명령 실행
  • 윈도우 관리
  • 파일 시스템 접근
  • 프로세스 열거
  • 원격 마우스/키보드 제어

활성 세션 중에는 작업 관리자 프로세스를 종료하여 방해를 방지하고 피해자에게 악성 활동을 숨깁니다.

데이터 절도를 지원하기 위해 TCLBanker는 WPF 기반 오버레이 시스템을 사용해 가짜 인증 프롬프트, PIN 키패드, 전화번호 수집 양식, 가짜 “은행 지원” 대기 화면, 가짜 Windows 업데이트 화면 및 다양한 가짜 진행 화면을 표시할 수 있습니다. “컷아웃” 오버레이는 최상단에 유지되며, 실제 애플리케이션의 선택된 부분만 표시하고 다른 부분은 가립니다.


가짜 Windows 업데이트 오버레이 생성 – Source: Elastic

WhatsApp 및 Outlook 웜

TCLBanker의 흥미로운 점은 주요 피해자와 연결된 연락처로 자동 전파할 수 있다는 점입니다.

이 악성코드는 Chromium 브라우저 프로필에서 인증된 WhatsApp Web IndexedDB 데이터를 검색하고, 피해자의 계정을 탈취하는 숨겨진 Chromium 인스턴스를 실행합니다.


Hijacking WhatsApp accounts – Source: Elastic

그 후 연락처를 수집하고, 브라질 번호만 필터링한 뒤 피해자의 계정으로 스팸 메시지를 보내며, 수신자를 TCLBanker 배포 플랫폼으로 유도합니다.

또 다른 웜 모듈은 COM 자동화를 통해 Microsoft Outlook을 악용하여 애플리케이션을 실행하고, 연락처와 발신자 주소를 수집한 뒤 피해자의 이메일 계정을 통해 피싱 메일을 전송합니다.


Harvesting Outlook contacts – Source: Elastic

Elastic은 TCLBanker가 LATAM 악성코드 진화의 전형적인 사례이며, 한때 고도로 정교한 도구에서만 제공되던 기능을 낮은 수준의 사이버 범죄자들에게도 제공하고 있다고 결론짓습니다.

0 조회
#malware #banking trojan #TCLBanker #self-spreading worm #WhatsApp #Outlook #cybersecurity #fintech #Brazil
원문 보기
Share:
Back to Blog

관련 글

더 보기 »