SOC Prime Bias: Mittel

08 Mai 2026 18:29
newspaper icon elastic.co

TCLBANKER: Brasilianischer Banking-Trojaner verbreitet sich über WhatsApp und Outlook

Author Photo
SOC Prime Team linkedin icon Folgen
TCLBANKER: Brasilianischer Banking-Trojaner verbreitet sich über WhatsApp und Outlook
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Bericht untersucht TCLBANKER, einen neu identifizierten brasilianischen Banking-Trojaner, der einen signierten Logitech-Installer missbraucht, um eine bösartige .NET-Nutzlast auszuliefern. Die Malware umfasst eine Banking-Komponente, die WPF-Overlays verwendet, um Finanzsitzungen zu gefährden, sowie zwei wurmartige Module, die WhatsApp Web und Microsoft Outlook zur Verbreitung missbrauchen. Die Befehls- und Kontrollkommunikation wird über eine Cloudflare Workers WebSocket-Infrastruktur abgewickelt, und die Malware integriert eine Vielzahl von Anti-Analyse-Techniken, um Entdeckung und Untersuchung zu erschweren.

Untersuchung

Elastic Security Labs analysierte das bösartige MSI-Paket, die DLL-Sideloading-Methode, den .NET-Loader und beide Verbreitungs-Module. Forscher ermittelten Befehls- und Kontroll-URLs, API-Schlüssel, Persistenzdetails geplanter Aufgaben und eine Liste von 59 brasilianischen Banking-Domains, die von der Malware ins Visier genommen worden sind. Ihre Analyse dokumentierte auch Anti-Debugging-Logik, Sandbox-Evasion-Methoden und ein Wächterverhalten, das darauf abzielt, die Malware aktiv und widerstandsfähig zu halten.

Abschwächung

Verteidiger sollten die Ausführung unzuverlässiger Installer blockieren, das DLL-Sideloading in Verbindung mit LogiAiPromptBuilder.exeüberwachen und Least-Privilege-Kontrollen auf Outlook- und Browser-Umgebungen anwenden. Auch sollte der geplante Task RuntimeOptimizeServicedurch Erkennungsinhalte abgedeckt werden. Netzschutzmaßnahmen sollten die identifizierten Cloudflare Workers-Domains und die IP-Adresse blockieren 191.96.224.96.

Antwort

Wird TCLBANKER entdeckt, sollte der betroffene Endpunkt sofort isoliert, die schädlichen Prozesse beendet, der geplante Task entfernt und das %LocalAppData%LogiAI Verzeichnis gelöscht werden. Ermittler sollten forensische Beweise wie DLL-Hashes und Befehls- und Kontrollverkehr für den Austausch von Bedrohungsinformationen bewahren. Kompromittierte Outlook- und WhatsApp-Anmeldeinformationen sollten zurückgesetzt werden, und die Umgebung sollte auf weitere Verbreitungsversuche überwacht werden.

graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef persistence fill:#ccccff classDef c2 fill:#ffdd99 user_execution[„<b>Aktion</b> – Benutzer führt MSI aus“] class user_execution action delivery_zip[„MSI in ZIP über Logitech Installer“] class delivery_zip action malicious_msi[„Malware – MSI“] class malicious_msi malware signed_logitech_installer[„Tool – Logitech Installer“] class signed_logitech_installer tool logiai_exe[„Prozess – LogiAiPromptBuilder.exe“] class logiai_exe process sideloader_dll[„Malware – DLL“] class sideloader_dll malware flutter_framework[„Tool – Flutter“] class flutter_framework tool dotnet_reactor[„Tool – .NET Reactor“] class dotnet_reactor tool polymorphic_payload[„Malware – AES Payload“] class polymorphic_payload malware env_evasion[„Aktion – Sandbox Evasion“] class env_evasion action locale_check[„Aktion – Locale Check“] class locale_check action scheduled_task[„Persistenz – Task“] class scheduled_task persistence screen_capture[„Aktion – Screenshot“] class screen_capture action keylogging[„Aktion – Keylogging“] class keylogging action outlook_bot[„Malware – Outlook Bot“] class outlook_bot malware phishing_action[„Aktion – Phishing“] class phishing_action action email_bombing[„Aktion – Email Bombing“] class email_bombing action network_logon_script[„Aktion – Netzwerk Script“] class network_logon_script action websocket_c2[„C2 Server“] class websocket_c2 c2 user_execution –> delivery_zip delivery_zip –> malicious_msi malicious_msi –> signed_logitech_installer signed_logitech_installer –> logiai_exe logiai_exe –> sideloader_dll sideloader_dll –> flutter_framework sideloader_dll –> dotnet_reactor sideloader_dll –> polymorphic_payload polymorphic_payload –> env_evasion env_evasion –> locale_check logiai_exe –> scheduled_task logiai_exe –> screen_capture logiai_exe –> keylogging logiai_exe –> outlook_bot outlook_bot –> phishing_action outlook_bot –> email_bombing logiai_exe –> network_logon_script network_logon_script –> websocket_c2

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorab-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (TTP), die zum Auslösen der Erkennungsregel vorgesehen ist. Die Kommandos und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetriedaten zu erzeugen, die von der Erkennungslogik erwartet werden. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:

    1. Die bösartige DLL bereitstellen – Der Angreifer platziert eine bösartige DLL (evil.dll) im selben Verzeichnis wie die legitime LogiAiPromptBuilder.exe. Die DLL ist unsigniert und enthält die Trojaner-Nutzlast für Banking.
    2. Das legitime Binary ausführen – Der Angreifer führt LogiAiPromptBuilder.exe direkt aus dem Explorer (oder einer PowerShell-Sitzung) aus, sodass der Prozess die bösartige DLL über die DLL-Suchreihenfolge des Betriebssystems lädt (Side-Loading).
    3. Resultierende Telemetriedaten – Sysmon/Ereignis ID 1 protokolliert eine Prozesserstellung, bei der Image endet mit logiaipromptbuilder.exe and ParentImage endet mit explorer.exe. Da das Elternteil in der Ausschlussliste ist, sollte die Sigma-Regel ausgelöst werden. not in the exclusion list, the Sigma rule should fire.

  • Regressions-Testskript:

    # -------------------------------------------------------------------------
# TCLBANKER DLL-Sideloading-Simulation – PowerShell
# -------------------------------------------------------------------------
# 1. Pfade definieren (anpassen, wenn auf einem anderen Arbeitsplatz verwendet)
$logiPath = "$env:ProgramFilesLogitechLogiAiPromptBuilder.exe"
$dllPath  = "$env:ProgramFilesLogitechevil.dll"

# 2. Eine gefälschte bösartige DLL erstellen (zu Demozwecken nur eine Kopie des Notepad)
Write-Host "[+] Vorbereiten der bösartigen DLL (simulierte Nutzlast)..."
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $dllPath -Force

# 3. Das legitime Binary starten (das Elternteil wird der aktuelle PowerShell-Prozess sein)
Write-Host "[+] Ausführen von LogiAiPromptBuilder.exe, um Sideloading auszulösen..."
Start-Process -FilePath $logiPath -PassThru | Wait-Process

# 4. Optional: Überprüfen, ob der Prozess protokolliert wurde (erfordert Sysmon/ELK-Zugriff)
Write-Host "[+] Simulation abgeschlossen. SIEM auf Erkennung überprüfen."

  • Aufräumbefehle:

    # -------------------------------------------------------------------------
# Aufräumen für TCLBANKER-Simulation
# -------------------------------------------------------------------------
$dllPath = "$env:ProgramFilesLogitechevil.dll"
if (Test-Path $dllPath) {
    Write-Host "[+] Entfernen der bereitgestellten bösartigen DLL..."
    Remove-Item -Path $dllPath -Force
}
Write-Host "[+] Aufräumen abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten