TCLBANKER: Yeni Bir Tehdit
Son zamanlarda, daha önce belgelenmemiş bir Brezilya bankacılık trojanı olan TCLBANKER, 59 farklı bankacılık, fintech ve kripto para platformunu hedef alabilme yeteneği ile gündeme geldi. Bu durum, siber güvenlik alanında kritik bir aciliyet doğurmakta ve kullanıcıların güvenliğini tehdit etmektedir.
Saldırı Nasıl Çalışıyor?
Bu kötü amaçlı yazılım ailesi, Elastic Security Labs tarafından REF3076 adı altında izleniyor. TCLBANKER, WhatsApp Web aracılığıyla yayılarak kurbanın kişisel iletişimlerine ulaşan SORVEPOTEL adlı bir solucanı kullanan Maverick isimli bir kampanyanın güncellenmiş bir versiyonu olarak değerlendiriliyor. Trend Micro, Maverick kampanyasını suistimalci bir tehdit kümesine atfetmektedir.
Saldırı zincirinin merkezinde, analiz araçlarından kaçınmak için güçlü bir anti-analiz yeteneğine sahip bir yükleyici bulunmaktadır. Bu yükleyici, tam özellikli bankacılık trojanı ve WhatsApp ile Microsoft Outlook kullanarak yayılan bir solucan bileşeni içeren iki gömülü modül kullanmaktadır.
Araştırmacılar, kötü amaçlı yazılımın bir ZIP dosyası içerisinde kötü niyetli bir MSI yükleyicisi barındırdığını belirtmektedir. Bu MSI paketleri, imzalanmış bir Logitech programı olan Logi AI Prompt Builder’ı kötüye kullanmaktadır.
Kötü amaçlı yazılım, uygulama üzerinde DLL yan yükleme yaparak “screen_retriever_plugin.dll” adlı kötü niyetli bir DLL’i başlatır. Bu DLL, analiz araçlarını, sanal kutuları, hata ayıklayıcıları, ayrıştırıcıları ve antivirüs yazılımlarını tespit etmeye yönelik kapsamlı bir “gözlemci alt sistemi” ile birlikte bir yükleyici işlevi görmektedir.
Etkilenen Sistemler
Kötü amaçlı DLL, yalnızca “logiaipromptbuilder.exe” (Logitech programı) veya “tclloader.exe” (muhtemelen test sırasında kullanılan bir yürütülebilir dosya) tarafından yüklendiğinde çalışacaktır. Ayrıca, uç nokta güvenlik yazılımlarının “ntdll.dll” dosyasında yerleştirdiği kullanıcı modu kancalarını kaldırmakta ve Windows için Olay İzleme (ETW) telemetrisini devre dışı bırakmaktadır.
Kötü amaçlı yazılım aynı zamanda üç adet parmak izi oluşturmakta; bunlar arasında anti-hata ayıklama ve anti-sanalizasyon kontrolleri, sistem disk bilgisi kontrolleri ve dil kontrolleri yer almaktadır. Bu parmak izleri, gömülü yükün deşifre edilmesinde kullanılan bir ortam hash değeri oluşturmak için kullanılmaktadır.
Mesela, bir hata ayıklayıcı tespit edilirse, yanlış bir hash üretilecektir. Böylece, kötü amaçlı yazılım hash’den deşifre anahtarlarını elde etmeye çalıştığında, yük doğru bir şekilde deşifre olamayacak ve TCLBANKER yürütmeyi durduracaktır.
Çözüm ve Korunma
Kötü amaçlı yazılım, Brezilya sistemlerinde çalışıp çalışmadığını kontrol ettikten sonra, kalıcılığı sağlamak amacıyla bir zamanlanmış görev oluşturmakta ve dış bir sunucuya HTTP POST isteği göndererek sistem bilgilerini iletmektedir. TCLBANKER, aynı zamanda bir kendini güncelleme mekanizması ve ön plandaki tarayıcının adres çubuğundan mevcut URL’yi çıkaran bir URL izleyici içermektedir.
Çıkarılan URL, hedef finansal kurumların önceden belirlenmiş bir listesi ile eşleşirse, uzaktan bir sunucuya WebSocket bağlantısı kurarak çok çeşitli görevleri yerine getirme imkanı sunmaktadır:
- Shell komutları çalıştırma
- Ekran görüntüleri alma
- Ekran akışını başlat/durdur
- Panoya müdahale etme
- Keylogger başlatma
- Fare/klavye uzaktan kontrol etme
- Dosyaları ve süreçleri yönetme
- Çalışan süreçleri listeleme
- Görünür pencereleri listeleme
- Sahte kimlik bilgilerini çalma ara yüzleri sunma
Veri hırsızlığı gerçekleştirmek için TCLBANKER, Windows Presentation Foundation (WPF) tabanlı tam ekran bir overlay çerçevesi kullanarak sosyal mühendislik ile kimlik bilgilerini toplama teşebbüslerinde bulunmaktadır. Tam ekran overlay’ler, sahte ilerleme çubukları ve yanıltıcı Windows Güncellemeleri ile eş zamanlı olarak, ekran yakalama araçlarından gizlenmektedir.
Sonuç
Kopyalanan yükleyici, trojanı spam ve phishing mesajları ile propagandalaştırmak için solucan modülünü devreye sokar. WhatsApp Web üzerinden oturum açmış kullanıcıları hedef alan bir solucan ve Microsoft Outlook’u kötüye kullanarak sahte e-postalar gönderen bir bot kullanmaktadır. Kullanıcıların hesaplarına yönelik bu saldırılar, geleneksel e-posta güvenlik sistemleri tarafından tespit edilemeyecek şekilde uygulanmaktadır.
Okuyuculara önerimiz, sistemlerini güncellemeleri, portları kapatmaları ve herhangi bir şüpheli etkinlik tespit ettiklerinde güvenlik yazılımlarını aktif şekilde kullanmalarıdır. Bu tür kötü amaçlı yazılımlara karşı alabileceğiniz önlemler, güvenliğinizi artıracaktır.
