Son günlerde, 59 banka, fintech ve kripto para alanını hedef alan TCLBanker adında yeni bir trojan keşfedildi. Bu kötü amaçlı yazılım, Logitech AI Prompt Builder için kötü amaçlı bir MSI yükleyicisi kullanarak sistemleri enfekte ediyor.
TCLBanker’ın Yetenekleri
Elastic Security Labs tarafından keşfedilen TCLBanker,, analize ve hata ayıklamaya karşı son derece iyi korunmuş bir yapıya sahiptir. Ortam bağımlılığına göre değişen yükleme şifre çözme rutinleri, sanal ortamda veya analiz ortamında başarısız olur. Ayrıca, bir izleme iş parçacığı sürekli olarak x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot gibi analiz araçlarını arar.
Kaynak: Elastic
Kötü yazılım, gerçek bir Logitech uygulaması bağlamında DLL yan yüklemesi ile yüklenir, bu nedenle enfekte olmuş bir sistemi koruyan güvenlik ürünlerinden alarm tetiklemez. Araştırmacılar, arka planda yaygın olan bu yükleyicinin birçok özellikle zengin olduğunu belirtse de, hiçbiri gerçekten gelişmiş olarak değerlendirilmiyor. Kod kalıntıları, yapımında yapay zekanın kullanıldığını gösteriyor.
Banka modülü, her saniyede bir tarayıcı adres çubuğunu izleyerek 59 hedef platformdan birine erişim sağlandığında uzaktan kontrol işlemlerini başlatıyor. Bu süreçte, komut ve kontrol (C2) ile bir WebSocket oturumu başlatılır ve saldırgan, mağdur ve sistem bilgilerini gönderir.
Operatörlere sağlanan yetenekler arasında:
- Canlı ekran akışı
- Ekran görüntüsü alma
- Tuş kaydetme
- Pano ele geçirme
- Shell komutu yürütme
- Pencere yönetimi
- Dosya sistemi erişimi
- Süreç listeleme
- Uzaktan fare/klavye kontrolü
Aktif oturumlar sırasında, kötü amaçlı etkinliği gizlemek için Görev Yöneticisi süreci sonlandırılır.
Veri hırsızlığına destek olmak için TCLBanker, mağdura sahte kimlik bilgisi istemleri, PIN tuş takımları gibi sahte ekranlar sunan bir WPF tabanlı overlay sistemi kullanır.
Kaynak: Elastic
WhatsApp ve Outlook Solucanları
TCLBanker’ın ilginç bir yönü, kurbanın bağlantıları aracılığıyla kendi kendine yayılabilme yeteneğidir. Kötü yazılım, Chromium tarayıcı profillerini tarayarak, WhatsApp Web için oturum açılmış verileri arar ve mağdurun hesabını ele geçirerek gizli bir Chromium örneğini başlatır.
Kaynak: Elastic
Daha sonra, telefon numarasını filtreleyerek Brezilyalı numaraları hedef alır ve mağdurun hesabından spam mesaj gönderir. Başka bir solucan modülü, Microsoft Outlook’u otomasyon aracılığıyla kötüye kullanarak, uygulamayı başlatır ve mağdurun e-posta hesabından kimlik avı e-postaları gönderir.
Kaynak: Elastic
Elastic Labs, TCLBanker’ın, daha önce sadece yüksek dereceli araçlarda bulunmuş olan özellikleri alt düzey siber suçlulara sunarak LATAM kötü yazılımlarının evrimine karakteristik bir örnek olduğunu belirtmektedir.
Sonuç
TCLBanker’ı dikkate alarak aşağıdaki tedbirleri almanız önemlidir:
- Antivirüs yazılımlarınızı güncelleyin ve düzenli taramalar yapın.
- Güvenlik yamalarını uygulayın ve işletim sisteminizi güncel tutun.
- Güvenilmeyen kaynaklardan gelen e-postaları açmaktan kaçının ve şüpheli bağlantılara tıklamaktan sakının.
- WhatsApp ve Outlook gibi uygulamalarınızı düzenli olarak güncelleyin.
Sisteminizin güvenliğini sağlamak için bu önlemleri almayı unutmayın.
