Американские специалисты выявили новый банковский троян, целью которого выступает банковские и иные финансовые платформы. Специалистов удивил тот факт, что зловред умело уходит от анализа антивирусов и самостоятельно рассылает себя через WhatsApp* (принадлежит корпорации Meta*, признанной экстремистской и запрещённой в России).
Исследователи Elastic Security Labs обнаружили банковский троян TCLBanker, нацеленный на 59 банковских, финтех- и криптовалютных платформ. Вредонос распространяется через троянизированный MSI-установщик, замаскированный под Logitech AI Prompt Builder. После заражения он загружается в контексте легитимного приложения Logitech через стороннюю загрузку DLL. Такой подход помогает трояну успешно миновать защитные решения.
При открытии сайта целевой платформы троян связывается с C2-сервером и передаёт данные о системе и жертве. Оператор получает широкий набор возможностей, в том числе просмотр экрана в реальном времени, скриншоты, кейлоггинг, перехват буфера обмена, выполнение команд, управление окнами, доступ к файловой системе и удалённое управление мышью и клавиатурой. Во время сессии троян может завершать процесс Диспетчера задач, чтобы скрыть свою активность.
Для кражи данных используются поддельные оверлеи. Нередко в ход идут фейковые формы входа, ввод ПИН-кода, окна поддержки банка, экраны ожидания, имитация Windows Update и другие элементы. Отдельный модуль самораспространения осуществляет поиск данных WhatsApp* в профилях, затем он осуществляет запуск скрытого экземпляра браузера и использует аккаунт жертвы для рассылки зараженный сообщений ее контактам.
Специалисты в очередной раз призвали пользователей к бдительности и рекомендовали обращать пристальное внимание на странное поведение ПК или гаджета.