TCLBANKER: Бразильський банківський троян, що розповсюджується через WhatsApp та Outlook
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У звіті розглядається TCLBANKER, нововиявлений бразильський банківський троян, який зловживає підписаною установкою Logitech для доставки шкідливого .NET навантаження. Зловмисне програмне забезпечення включає банківський компонент, який використовує накладки WPF для націлювання на фінансові сесії, а також два червеподібні модулі, які зловживають WhatsApp Web та Microsoft Outlook для розповсюдження. Командно-контрольна комунікація здійснюється через інфраструктуру Cloudflare Workers WebSocket, а шкідливе програмне забезпечення включає широкий спектр аналітичних технік, щоб заплутати виявлення та розслідування.
Розслідування
Експерти з Elastic Security Labs проаналізували шкідливий MSI пакет, метод завантаження DLL, .NET завантажувач і обидва модулі розповсюдження. Дослідники відновили URL командно-контрольної центральні, API ключі, деталі запланованого завдання для збереження і список з 59 бразильських банківських доменів, на які націлюється шкідливе ПЗ. Їхній аналіз також документував логіку протидії налагодженню, методи уникнення пісочниці та поведінку наглядача з метою збереження активності та стійкості шкідливого ПЗ.
Зменшення ризику
Захисники повинні блокувати виконання недовіраних установочних пакетів, контролювати завантаження DLL, які пов’язані з LogiAiPromptBuilder.exe, та застосовувати контролі на найменші привілеї в середовищі Outlook і браузеру. Вміст детекцій також повинен охоплювати заплановане завдання RuntimeOptimizeService. Захисні мережеві заходи повинні блокувати виявлені домени Cloudflare Workers та IP-адресу 191.96.224.96.
Реагування
Якщо виявлено TCLBANKER, необхідно негайно ізолювати уражену кінцеву точку, припинити шкідливі процеси, прибрати заплановане завдання і видалити каталог %LocalAppData%LogiAI . Розслідувачі повинні зберегти судово-медичні докази, такі як хеші DLL і трафік командно-контрольної мережі, для обміну інформацією. Компрометовані облікові дані Outlook і WhatsApp повинні бути скинуті, а середовище повинно контролюватися на предмет нових спроб поширення.
graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef persistence fill:#ccccff classDef c2 fill:#ffdd99 %% Вузли user_execution[“<b>Дія</b> – <b>T1204.002 Виконання користувачем</b><br/>Користувач запускає шкідливий MSI після розпакування ZIP”] class user_execution action delivery_zip[“<b>Дія</b> – <b>T1546.016 Виконання через події: інсталяційні пакети</b><br/>MSI доставляється всередині ZIP через підписаний інсталятор Logitech”] class delivery_zip action malicious_msi[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: шкідливий MSI<br/><b>Опис</b>: вбудований у ZIP і запускається через підписаний інсталятор”] class malicious_msi malware signed_logitech_installer[“<b>Інструмент</b> – <b>Назва</b>: інсталятор Logitech Logi AI Prompt Builder (підписаний)”] class signed_logitech_installer tool logiai_exe[“<b>Процес</b> – <b>Назва</b>: LogiAiPromptBuilder.exe”] class logiai_exe process sideloader_dll[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: screen_retriever_plugin.dll (маскується під Flutter-плагін)”] class sideloader_dll malware flutter_framework[“<b>Інструмент</b> – <b>Назва</b>: Flutter framework (довірена dev-утиліта)”] class flutter_framework tool dotnet_reactor[“<b>Інструмент</b> – <b>Назва</b>: .NET Reactor пакер”] class dotnet_reactor tool polymorphic_payload[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: AES-256 зашифрований payload<br/>Залежний від середовища ключ забезпечує поліморфізм”] class polymorphic_payload malware env_evasion[“<b>Дія</b> – <b>T1497.002 Уникнення віртуалізації/пісочниці</b><br/>Перевірка користувацької активності, дебагера, VM та регіону”] class env_evasion action locale_check[“<b>Дія</b> – <b>T1614.001 Визначення системної локалі</b><br/>Перевірка LCID, клавіатури та часового поясу (pt-BR)”] class locale_check action scheduled_task[“<b>Постійність</b> – <b>T1053 Заплановане завдання</b><br/>Створює приховане завдання RuntimeOptimizeService при вході в систему”] class scheduled_task persistence screen_capture[“<b>Дія</b> – <b>T1113 Захоплення екрана</b><br/>Захоплення повноекранних PNG з кількох моніторів”] class screen_capture action keylogging[“<b>Дія</b> – <b>T1056.001 Перехоплення вводу: кейлогінг</b><br/>Встановлення низькорівневого WH_KEYBOARD_LL хука”] class keylogging action outlook_bot[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: бот автоматизації Outlook COM”] class outlook_bot malware phishing_action[“<b>Дія</b> – <b>T1566 Фішинг</b><br/>Надсилання фішингових листів з акаунта жертви Outlook”] class phishing_action action email_bombing[“<b>Дія</b> – <b>T1667 Email-бомбардування</b><br/>Масові фішингові розсилки контактам жертви”] class email_bombing action network_logon_script[“<b>Дія</b> – <b>T1037.003 Мережевий логон-скрипт</b><br/>Створення постійного WebSocket-з’єднання”] class network_logon_script action websocket_c2[“<b>C2</b> – Ендпоінт: wss://mxtestacionamentos.com/ws<br/>Аутентифікація: HMAC-SHA256”] class websocket_c2 c2 %% Зв’язки user_execution –>|тригер| delivery_zip delivery_zip –>|містить| malicious_msi malicious_msi –>|виконується через| signed_logitech_installer signed_logitech_installer –>|запускає| logiai_exe logiai_exe –>|завантажує| sideloader_dll sideloader_dll –>|використовує| flutter_framework sideloader_dll –>|упаковано з| dotnet_reactor sideloader_dll –>|містить| polymorphic_payload polymorphic_payload –>|обхід| env_evasion env_evasion –>|включає| locale_check logiai_exe –>|створює| scheduled_task logiai_exe –>|знімає екран| screen_capture logiai_exe –>|перехоплює клавіші| keylogging logiai_exe –>|запускає| outlook_bot outlook_bot –>|виконує| phishing_action outlook_bot –>|виконує| email_bombing logiai_exe –>|налаштовує| network_logon_script network_logon_script –>|підключається до| websocket_c2
Потік атаки
Виявлення
Виключення, що використовується для примусу зупинки або перезавантаження системи (через cmdline)
Переглянути
Індикатори компрометації (HashSha256) для виявлення: TCLBANKER: Бразильський банківський троян, що поширюється через WhatsApp та Outlook
Переглянути
Індикатори компрометації (HashSha1) для виявлення: TCLBANKER: Бразильський банківський троян, що поширюється через WhatsApp та Outlook
Переглянути
Індикатори компрометації (SourceIP) для виявлення: TCLBANKER: Бразильський банківський троян, що поширюється через WhatsApp та Outlook
Переглянути
Індикатори компрометації (DestinationIP) для виявлення: TCLBANKER: Бразильський банківський троян, що поширюється через WhatsApp та Outlook
Переглянути
Виявлення комунікації TCLBANKER C2 [Підключення до мережі Windows]
Переглянути
Виявлення шкідливого завантаження DLL у кампанії TCLBANKER [Створення процесу Windows]
Переглянути
Виконання симуляції
Попередня умова: Телеметрія та перевірка попереднього польоту базової лінії повинні пройти.
Пояснення: Цей розділ детально описує точне виконання техніки супротивника (TTP), яка створена для запуску правила виявлення. Команди та оповідь МАЮТЬ безпосередньо відображати визначені TTP та цілитися на генерацію очікуваної телеметрії, визначеної логікою виявлення. Абстрактні або не пов’язані приклади призведуть до помилкових діагнозів.
-
Оповідь атаки та команди:
- Стадії шкідливого DLL – зловмисник розміщує шкідливий DLL (
зло.dll) в тій самій директорії, що і легітимнийLogiAiPromptBuilder.exe. DLL не підписано і містить банківське троянське навантаження. - Виконання законного бінарного файлу – зловмисник запускає
LogiAiPromptBuilder.exeбезпосередньо з Провідника (або сеансу PowerShell), що викликає процес завантажити шкідливий DLL через порядок пошуку DLL ОС (завантаження на бік). - Вихідна телеметрія – Sysmon/Event ID 1 реєструє створення процесу, де
Зображеннязакінчується наlogiaipromptbuilder.exeandParentImageзакінчується наexplorer.exe. Оскільки батьківська програма знаходиться в списку виключень, правило Sigma має спрацювати. not in the exclusion list, the Sigma rule should fire.
- Стадії шкідливого DLL – зловмисник розміщує шкідливий DLL (
-
Тестовий скрипт для регресії:
# ------------------------------------------------------------------------- # Симуляція завантаження DLL TCLBANKER – PowerShell # ------------------------------------------------------------------------- # 1. Визначте шляхи (налаштуйте, якщо запускається на іншій робочій станції) $logiPath = "$env:ProgramFilesLogitechLogiAiPromptBuilder.exe" $dllPath = "$env:ProgramFilesLogitechevil.dll" # 2. Створіть фіктивний шкідливий DLL (для демонстраційних цілей, просто копія Блокнота) Write-Host "[+] Стадіювання шкідливого DLL (імітоване навантаження)..." Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $dllPath -Force # 3. Запустіть законний бінарний файл (батьківський буде поточним процесом PowerShell) Write-Host "[+] Виконання LogiAiPromptBuilder.exe для запуску завантаження на бік..." Start-Process -FilePath $logiPath -PassThru | Wait-Process # 4. Необов'язково: Перевірте, що процес був зафіксований (потрібен доступ до Sysmon/ELK) Write-Host "[+] Симуляція завершена. Перевірте SIEM для виявлення." -
Команди очищення:
# ------------------------------------------------------------------------- # Очищення для симуляції TCLBANKER # ------------------------------------------------------------------------- $dllPath = "$env:ProgramFilesLogitechevil.dll" if (Test-Path $dllPath) { Write-Host "[+] Видалення етапованого шкідливого DLL..." Remove-Item -Path $dllPath -Force } Write-Host "[+] Очищення завершено."