新 TCLBanker 恶意软件在 WhatsApp 和 Outlook 上自我传播

Source: Bleeping Computer

Overview

一种名为 TCLBanker 的新特洛伊木马针对 59 家银行、金融科技和加密货币平台，利用伪装成 Logitech AI Prompt Builder 的 MSI 安装程序感染系统。该恶意软件还包含用于 WhatsApp 和 Outlook 的自传播蠕虫模块，能够自动感染新受害者。

该新银行特洛伊木马是由 Elastic Security Labs 发现的，研究人员认为它是旧的 Maverick/Sorvepotel 恶意软件家族的重大进化。虽然 TCLBanker 目前似乎主要集中在巴西——会检查时区、键盘布局和地区设置——但 LATAM 区域的恶意软件过去曾被更新以 扩大其目标范围，因此该威胁扩散的风险是真实存在的。

TCLBanker 能力

Elastic 警告称，TCLBanker 对分析和调试有极强的防护，具备基于环境的有效负载解密例程，在沙箱或分析人员的环境中会失效。它还运行一个持久的看门狗线程，持续搜寻分析工具，如 x64dbg、IDA、dnSpy、Frida、ProcessHacker、Ghidra、de4dot 等。

监控目标进程 – 来源：Elastic

该恶意软件通过 DLL 侧加载的方式在合法的 Logitech 应用程序上下文中加载，因此不会触发受感染主机上安全产品的任何警报。加载器功能丰富但并非真正高级；代码痕迹表明其开发可能使用了 AI。

银行模块每秒使用 Windows UI Automation API 监视浏览器地址栏，观察受害者何时打开其 59 个目标平台之一的网站。发生时，它会与指挥控制（C2）服务器建立 WebSocket 会话，发送受害者和系统信息，并启动远程控制操作。

可供操作者使用的功能

• 实时屏幕流媒体
• 截图捕获
• 键盘记录
• 剪贴板劫持
• Shell 命令执行
• 窗口管理
• 文件系统访问
• 进程枚举
• 远程鼠标/键盘控制

在活跃会话期间，任务管理器进程会被杀掉，以防止中断并隐藏恶意活动不被受害者发现。

为支持数据窃取，TCLBanker 使用基于 WPF 的覆盖系统，可弹出伪造的凭证提示、PIN 键盘、电话号码收集表单、伪造的“银行支持”等待界面、伪造的 Windows 更新界面以及各种伪造的进度界面。“剪切”覆盖层保持在最上层，仅显示真实应用程序的选定部分，同时遮蔽其他部分。

生成伪造的 Windows 更新覆盖层 – 来源：Elastic

WhatsApp 和 Outlook 蠕虫

TCLBanker 的一个有趣特性是它能够自主传播到与主要受害者关联的联系人。

恶意软件会搜索 Chromium 浏览器配置文件中的已认证 WhatsApp Web IndexedDB 数据，并启动一个隐藏的 Chromium 实例劫持受害者的账户。

劫持 WhatsApp 账户 – 来源：Elastic

随后它会收集联系人，筛选出巴西号码，并从受害者的账户发送垃圾信息，诱导收件人前往 TCLBanker 的分发平台。

另一个蠕虫模块通过 COM 自动化滥用 Microsoft Outlook，启动该应用，收集联系人和发件人地址，并通过受害者的电子邮件账户发送钓鱼邮件。

收集 Outlook 联系人 – 来源：Elastic

Elastic 认为，TCLBanker 是拉美地区恶意软件演进的典型案例，为低层次网络犯罪分子提供了过去仅在高度复杂工具中才有的功能。