تروجان البنوك TCLBANKER كيستهدف 59 منصة مالية عبر ديدان WhatsApp و Outlook
TCLBANKER Banking Trojan Targets Financial Platforms via WhatsApp and Outlook Worms
تروجان البنوك TCLBANKER كيستهدف 59 منصة مالية عبر ديدان WhatsApp و Outlook
الخلاصة: باحثين أمنيين فـ Elastic Security Labs كتاشفو TCLBANKER، واحد التروجان ديال البنوك برازيلي ماكانش موثق من قبل، وكيتعتبر تحديث كبير لعائلة البرمجيات الخبيثة Maverick. هاد التروجان كيستهدف 59 منصة ديال البنوك، التكنولوجيا المالية (fintech)، والعملات الرقمية، وكينتشر عبر ديدان WhatsApp Web و Microsoft Outlook. السلسلة ديال الهجوم كتعتمد على DLL side-loading ضد تطبيق ديال Logitech مسني (signed)، وكتستعمل آليات باش تتهرب من التحليل، بحال فك التشفير ديال الحمولة (payload) لي مربوط ببيئة النظام، وتعطيل التتبع ديال ETW.
شنو واقع
صائدي التهديدات فـ Elastic Security Labs، لي كيتبعو هاد النشاط تحت الرمز REF3076، وثقو TCLBANKER، وهو تروجان بنكي كيرجع لمجموعة التهديد Water Saci (كيفما سماتها Trend Micro). وهاد البرمجية الخبيثة كتعتبر تحديث كبير لعائلة Maverick، لي كانت كتستعمل دودة SORVEPOTEL باش تنتاشر عبر WhatsApp Web.
سلسلة العدوى كتبدا بملف Microsoft Installer (MSI) خبيث مخبع فداخل أرشيف ZIP. هاد الحزمة ديال MSI كتستغل برنامج مسني (signed) ديال شركة Logitech سميتو Logi AI Prompt Builder باش تنفذ الشفرة ديالها. البرمجية الخبيثة كتستعمل تقنية DLL side-loading باش تخدم واحد الـ DLL خبيث سميتو "screen_retriever_plugin.dll" لي كيلعب دور ديال loader. والأهم هنا هو أن هاد الـ DLL ماغاديش يخدم إلا يلا تفتح من طرف "logiaipromptbuilder.exe" أو "tclloader.exe"، وهادي طريقة حماية كتخلي التنفيذ محدود فـ processes معينة.
هاد الـ loader فيه قدرات كبيرة لمضادة التحليل (anti-analysis). كيحيّد الـ usermode hooks لي كتحطهم برامج الأمان فـ "ntdll.dll" عن طريق تغيير المكتبة كاملة، وكيعطل الـ telemetry ديال Event Tracing for Windows (ETW). البرمجية كتولد بصمات (fingerprints) مبنية على فحوصات ضد الـ debugging، وضد الأنظمة الوهمية (virtualization)، ومعلومات على قرص النظام، واللغة ديال النظام (خاصها تكون البرتغالية البرازيلية). هاد البصمات كتعطي واحد الـ hash ديال بيئة النظام لي كيتستعمل باش يفك التشفير ديال الحمولة (payload) المدمجة؛ ويلا كانو أدوات التحليل أو الـ debuggers خدامين، الـ hash كيولي غالط وفك التشفير كيفشل.
من بعد التأكد بلي النظام خدام فالبرازيل، التروجان كيتبت راسو فجهاز الضحية (persistence) باستعمال scheduled task وكيبدا يصيفط معلومات النظام لواحد السيرفر خارجي عبر HTTP POST. البرمجية فيها ميزة ديال التحديث الذاتي (self-update) ومراقب للروابط كيعتمد على UI Automation باش يجبد الـ URL الحالي من المتصفح اللي خدام، وهادشي كيستهدف Google Chrome، Mozilla Firefox، Microsoft Edge، Brave، Opera، و Vivaldi. وهاد الروابط كتقارن مع ليستة مبرمجة مسبقاً ديال مؤسسات مالية مستهدفة؛ ومين كيلقى تطابق، التروجان كيفتح اتصال WebSocket مع سيرفر عن بعد وكيدخل فحلقة ديال استقبال وتنفيذ الأوامر (command dispatch loop).
القدرات ديال التروجان كتشمل تنفيذ أوامر shell، أخذ صور للشاشة، البث المباشر ديال الشاشة، التلاعب بالـ clipboard، تشغيل برامج تسجيل لوحة المفاتيح (keyloggers)، التحكم عن بعد فالفأرة ولوحة المفاتيح، إدارة الملفات والـ processes، إظهار الـ processes اللي خدامة، وسرد النوافذ المرئية. وباش يسرق بيانات اعتماد (credentials) ويدير الهندسة الاجتماعية، TCLBANKER كيطلق إطار عمل (framework) مبني على Windows Presentation Foundation (WPF) كيكوفري الشاشة كاملة باش يبين نوافذ ديال سرقة بيانات الدخول، وشاشات انتظار وهمية، و progress bars مزورة، وتنبيهات كاذبة ديال Windows Update، وفنفس الوقت كيخفي هاد النوافذ على أدوات تصوير الشاشة.
الـ loader كيعيّط حتى لواحد الموديل ديال الديدان (worming module) باش ينتاشر. دودة WhatsApp Web كتختاطف جلسات التصفح لي مؤكدة (authenticated) وكتستعمل مشروع مفتوح المصدر WPPConnect باش تصيفط رسائل لضحايا خرين بطريقة أوتوماتيكية، وكتستثني المجموعات (groups) والأرقام لي ماشي برازيلية. وكاين واحد البوت (bot) ديال Outlook كيستغل برنامج Microsoft Outlook المتبت عند الضحية باش يصيفط إيميلات ديال التصيد (phishing) من العنوان ديالو، باش يتخطى فلاتر السپام ويعطي مصداقية مزيفة للإيميلات.
علاش هادشي مهم
بالنسبة لمحللي الـ SOC والمدافعين فمنطقة الشرق الأوسط وشمال إفريقيا (MENA) والبرازيل، TCLBANKER كيمثل تصعيد كبير فتطور الأنظمة البيئية ديال تروجانات البنوك البرازيلية. على حساب Elastic، التقنيات لي كانت شحال هادي محصورة على فاعلي التهديد (threat actors) المتقدمين — بحال فك التشفير المربوط ببيئة النظام، والاستدعاء المباشر للـ syscalls، والتنسيق الحي للهندسة الاجتماعية عبر WebSocket — ولّات دابا مدمجة فبرمجيات الجريمة العادية (commodity crimeware). هاد السهولة فالدخول للمجال كتزيد من المخاطر التشغيلية على المؤسسات المالية والزبناء ديالها.
الآلية المزدوجة ديال الانتشار عبر WhatsApp Web و Outlook فعالة بزاف حيت كتختاطف قنوات اتصال مشروعة. أنظمة حماية الإيميل التقليدية والدفاعات المبنية على السمعة (reputation-based defenses) كتلقى صعوبة باش تكتشف رسائل التصيد لي مصيفطة من حسابات الضحايا، حيت الإيميلات جاية من عناوين موثوقة. بالنسبة للمطورين (developers) ومديري النظم (sysadmins)، هادشي كيأكد على الأهمية ديال أنظمة الكشف والاستجابة فالنهايات الطرفية (EDR) لي قادرة تكتشف اختطاف جلسات المتصفحات، وتحميل موديلات Outlook بشكل غير مصرح به، والأنشطة المشبوهة ديال نوافذ WPF.
استهداف 59 منصة ديال البنوك والتكنولوجيا المالية والعملات الرقمية كيبين مساحة هجوم واسعة فالقطاع المالي. الفحوصات الجغرافية واللغوية كتبين بلي المهاجمين مهتمين بشكل خاص بالضحايا فالبرازيل، ولكن التصميم المعياري (modular design) وهيكلة توزيع الأوامر ديال البرمجية الخبيثة كيخليو إمكانية تعديلها باش تستهدف مناطق جغرافية ولا ضحايا خرين.
الأنظمة المتضررة والـ CVEs
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Brave
- Opera
- Vivaldi
- WhatsApp Web
- Microsoft Outlook
- Logitech Logi AI Prompt Builder
- 59 منصة بنكية وتكنولوجية مالية ועملات رقمية (المنصات بالضبط مامذكورينش فالمصدر)
ماكاينش شي CVE تخصص تال وقت النشر.
شنو خاصنا نديرو
المقال المصدر ماعطاش خطوات ترقيع أو تخفيف (mitigations) محددة. ولكن، خاصنا كمسؤولين أمنيين نآخذو هادشي بعين الاعتبار:
- نراقبو محاولات الـ DLL side-loading ضد تطبيقات الطرف الثالث المسنية (signed)، خصوصا Logitech Logi AI Prompt Builder
- نكتشفو أي إنشاء غير مصرح به لنوافذ WPF وأنشطة الشاشة الكاملة (full-screen window)
- نطبقو حمايات باش نمنعو استخراج الـ URL من المتصفحات ونراقبو أي استغلال لـ UI Automation
- نراجعو (audit) الأنشطة ديال Outlook على أي إرسال ديال الإيميلات ولا تحميل إضافات (plugins) غير مصرح بها
- نراقبو تعطيل ETW وإزالة الـ usermode hooks من "ntdll.dll"
- نتتبعو إنشاء scheduled tasks لي كتستعمل كآليات استمرارية (persistence)
- نزيدو فحوصات البيئة واللغة فالـ telemetry ديال الحواسب باش نحددو أي محاولة ديال التهرب (evasion)
أسئلة كتبقى مطروحة
- ما تم تخصيص حتى شي معرفات CVE لـ TCLBANKER أو المكونات ديالو.
- ماتم الإفصاح على حتى شي تواريخ ديال العدوى ولا إطار زمني ديال الحملة.
- العدد الإجمالي ديال الأنظمة المخترقة مامذكورش.
- المصدر ماكيحددش شكون هما الـ 59 منصة مالية المستهدفة.
- ماكاين حتى شي ذكر لشي خطة زمنية ديال ترقيع (patch) من عند الشركات المتضررة (Logitech، المتصفحات، Microsoft).
- الهوية والدوافع التشغيلية ديال مجموعة Water Saci مازال مامعروفاش.
- التوزيع الجغرافي ديال الإصابات النشطة برا البرازيل مامفصلش.
المصدر
TCLBANKER Banking Trojan Targets Financial Platforms via WhatsApp and Outlook Worms
