這是一起針對金融平台、金融科技與加密貨幣平台的精密攻擊行動。這款被命名為 TCLBANKER 的銀行木馬(Banking Trojan,一種專門設計用來盜取銀行帳戶資訊的惡意軟體)展現了高度的技術成熟度,它不僅能針對 59 個不同的金融平台,還能透過社交軟體與電子郵件自動傳播,讓防禦難度大幅提升。
這次攻擊的核心在於一個具有強大反分析能力的載入器(Loader)。載入器是惡意軟體的第一階段程式,其主要任務是確保環境安全後,再將真正的攻擊模組下載或解密到目標主機上。TCLBANKER 的載入器採取了 DLL Side-loading 技術,這是一種利用合法程式載入惡意 DLL 檔案的手法。攻擊者將惡意程式偽裝在一個 ZIP 壓縮檔中,內含一個惡意的 MSI 安裝包,該安裝包濫用了羅技(Logitech)的一個合法簽署程式 Logi AI Prompt Builder。由於該程式具有合法數位簽章,許多防毒軟體會對其信任,導致惡意 DLL 能在不被察覺的情況下被載入並執行。
為了躲避安全研究人員的分析,TCLBANKER 實作了極為嚴格的環境檢查機制。它會偵測系統中是否存在除錯器(Debugger)、沙箱(Sandbox)或反病毒軟體。更精巧的是,它會根據系統硬碟資訊、語言設定(必須為巴西葡萄牙語)以及反分析檢查結果,生成一個環境雜湊值(Environment Hash)。這個雜湊值被用作解密後續攻擊載荷(Payload)的金鑰。如果分析人員在虛擬機中運行該程式,生成的雜湊值會錯誤,導致載荷無法正確解密,程式會直接停止執行。
一旦成功進入系統,TCLBANKER 會透過排程工作(Scheduled Task)達成持久化,確保電腦重啟後依然能運行。它會持續監控使用者的瀏覽器網址列,利用 UI Automation(一種 Windows 提供的使用者介面自動化技術)來獲取當前網址。當使用者訪問預設清單中的金融網站時,木馬會立即透過 WebSocket(一種允許伺服器主動推播訊息給客戶端的全雙工通訊協定)建立連線,讓遠端操作者能即時控制受害者的電腦。
在實際盜取資料階段,TCLBANKER 使用了基於 WPF(Windows Presentation Foundation,微軟的桌面應用程式框架)的全螢幕覆蓋層(Overlay)。當使用者進入銀行頁面時,木馬會彈出一個看起來完全像官方的偽造登入視窗或更新畫面,誘導使用者輸入帳號密碼。為了防止被偵測,這些覆蓋層在螢幕截圖工具中是不可見的。
最令安全人員擔心的部分是其傳播機制。TCLBANKER 內建了兩種蠕蟲(Worm,能自動尋找漏洞並自我複製傳播的惡意軟體)模組。第一種是 WhatsApp Web 蠕蟲,它會劫持使用者已登入的瀏覽器會話,利用開源專案 WPPConnect 自動向聯絡人發送釣魚訊息。第二種是 Outlook 郵件機器人,它直接操作受害者的 Outlook 應用程式發送郵件。由於郵件是由受害者的真實帳號發出,而非外部伺服器,這能有效繞過大多數的垃圾郵件過濾器,讓收件者產生高度信任感。
總結來說,TCLBANKER 代表了現代金融木馬的趨勢:將過去僅見於國家級攻擊(APT)的高階技術,如環境門檻解密、直接系統呼叫(Direct Syscall)以及即時社交工程編排,模組化為通用犯罪軟體。這種利用合法通訊管道進行傳播的模式,讓傳統基於信譽或閘道過濾的防禦手段面臨巨大挑戰。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。