Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il rapporto esamina TCLBANKER, un nuovo trojan bancario brasiliano identificato che sfrutta un programma di installazione Logitech firmato per fornire un payload dannoso .NET. Il malware include un componente bancario che utilizza sovrapposizioni WPF per prendere di mira sessioni finanziarie, insieme a due moduli simili a worm che sfruttano WhatsApp Web e Microsoft Outlook per la propagazione. La comunicazione di comando e controllo viene gestita tramite un’infrastruttura Cloudflare Workers WebSocket, e il malware incorpora una vasta gamma di tecniche anti-analisi per ostacolare il rilevamento e l’indagine.
Indagine
Elastic Security Labs ha analizzato il pacchetto MSI dannoso, il metodo di sideloading DLL, il loader .NET e entrambi i moduli di propagazione. I ricercatori hanno recuperato URL di comando e controllo, chiavi API, dettagli di persistenza delle attività pianificate e un elenco di 59 domini bancari brasiliani mirati dal malware. La loro analisi ha anche documentato logiche anti-debugging, metodi di elusione sandbox e comportamento watchdog progettato per mantenere il malware attivo e resiliente.
Mitigazione
I difensori dovrebbero bloccare l’esecuzione di installer non affidabili, monitorare per il sideloading DLL che coinvolge LogiAiPromptBuilder.exe, e applicare controlli di privilegio minimo ad ambienti Outlook e browser. Il contenuto di rilevamento dovrebbe anche coprire l’attività pianificata RuntimeOptimizeService. Le difese di rete dovrebbero bloccare i domini Cloudflare Workers identificati e l’indirizzo IP 191.96.224.96.
Risposta
Se viene rilevato TCLBANKER, isolare immediatamente l’endpoint interessato, terminare i processi dannosi, rimuovere l’attività pianificata e eliminare la directory %LocalAppData%LogiAI . Gli investigatori dovrebbero preservare prove forensi come hash DLL e traffico di comando e controllo per la condivisione di informazioni. Le credenziali Outlook e WhatsApp compromesse dovrebbero essere reimpostate e l’ambiente dovrebbe essere monitorato per ulteriori tentativi di propagazione.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef persistence fill:#ccccff classDef c2 fill:#ffdd99 user_execution[“Azione – esecuzione utente MSI”] class user_execution action delivery_zip[“MSI in ZIP tramite installer Logitech”] class delivery_zip action malicious_msi[“Malware – MSI”] class malicious_msi malware signed_logitech_installer[“Tool – installer Logitech”] class signed_logitech_installer tool logiai_exe[“Processo – LogiAiPromptBuilder.exe”] class logiai_exe process sideloader_dll[“Malware – DLL Flutter”] class sideloader_dll malware flutter_framework[“Tool – Flutter”] class flutter_framework tool dotnet_reactor[“Tool – .NET Reactor”] class dotnet_reactor tool polymorphic_payload[“Malware – payload AES”] class polymorphic_payload malware env_evasion[“Azione – evasione sandbox”] class env_evasion action locale_check[“Azione – controllo locale”] class locale_check action scheduled_task[“Persistenza – task”] class scheduled_task persistence screen_capture[“Azione – screenshot”] class screen_capture action keylogging[“Azione – keylogging”] class keylogging action outlook_bot[“Malware – bot Outlook”] class outlook_bot malware phishing_action[“Azione – phishing”] class phishing_action action email_bombing[“Azione – email bombing”] class email_bombing action network_logon_script[“Azione – script rete”] class network_logon_script action websocket_c2[“C2 – server WebSocket”] class websocket_c2 c2 user_execution –> delivery_zip delivery_zip –> malicious_msi malicious_msi –> signed_logitech_installer signed_logitech_installer –> logiai_exe logiai_exe –> sideloader_dll sideloader_dll –> flutter_framework sideloader_dll –> dotnet_reactor sideloader_dll –> polymorphic_payload polymorphic_payload –> env_evasion env_evasion –> locale_check logiai_exe –> scheduled_task logiai_exe –> screen_capture logiai_exe –> keylogging logiai_exe –> outlook_bot outlook_bot –> phishing_action outlook_bot –> email_bombing logiai_exe –> network_logon_script network_logon_script –> websocket_c2
Flusso di Attacco
Rilevamenti
Arresto Usato per Forzare un Arresto o Reboot del Sistema (tramite cmdline)
Visualizza
IOC (HashSha256) per rilevare: TCLBANKER: Trojan Bancario Brasiliano che Si Diffonde tramite WhatsApp e Outlook
Visualizza
IOC (HashSha1) per rilevare: TCLBANKER: Trojan Bancario Brasiliano che Si Diffonde tramite WhatsApp e Outlook
Visualizza
IOC (SourceIP) per rilevare: TCLBANKER: Trojan Bancario Brasiliano che Si Diffonde tramite WhatsApp e Outlook
Visualizza
IOC (DestinationIP) per rilevare: TCLBANKER: Trojan Bancario Brasiliano che Si Diffonde tramite WhatsApp e Outlook
Visualizza
Rilevamento della Comunicazione C2 di TCLBANKER [Connessione di Rete Windows]
Visualizza
Rilevamento del Sideloading DLL Dannoso nella Campagna TCLBANKER [Creazione Processo Windows]
Visualizza
Esecuzione Simulazione
Prerequisito: Il Check Pre-volo di Telemetria e Baseline deve essere passato.
Motivazione: Questa sezione descrive in dettaglio l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’Attacco e Comandi:
- Disposizione del DLL dannoso – l’attaccante colloca un DLL dannoso (
evil.dll) nella stessa directory del legittimoLogiAiPromptBuilder.exe. Il DLL non è firmato e contiene il payload trojan bancario. - Esegui il binario legittimo – l’attaccante esegue
LogiAiPromptBuilder.exedirettamente da Explorer (o una sessione PowerShell), provocando il caricamento del DLL dannoso tramite l’ordine di ricerca DLL del OS (side-loading). - Telemetria risultante – Sysmon/Event ID 1 registra una creazione di processo dove
Imagetermina conlogiaipromptbuilder.exeandParentImagetermina conexplorer.exe. Poiché il padre è not nell’elenco di esclusione, la regola Sigma dovrebbe attivarsi.
- Disposizione del DLL dannoso – l’attaccante colloca un DLL dannoso (
-
Script di Test di Regressione:
# ------------------------------------------------------------------------- # Simulazione Sideloading DLL TCLBANKER – PowerShell # ------------------------------------------------------------------------- # 1. Definire percorsi (aggiustare se si sta eseguendo su una diversa workstation) $logiPath = "$env:ProgramFilesLogitechLogiAiPromptBuilder.exe" $dllPath = "$env:ProgramFilesLogitechevil.dll" # 2. Creare un DLL dannoso fittizio (per scopi dimostrativi, solo una copia di Notepad) Write-Host "[+] Disposizione DLL dannoso (payload simulato)..." Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $dllPath -Force # 3. Avviare il binario legittimo (il padre sarà il processo PowerShell corrente) Write-Host "[+] Esecuzione di LogiAiPromptBuilder.exe per attivare il sideloading..." Start-Process -FilePath $logiPath -PassThru | Wait-Process # 4. Opzionale: Verificare che il processo sia stato registrato (richiede accesso Sysmon/ELK) Write-Host "[+] Simulazione completa. Verificare SIEM per il rilevamento." -
Comandi di Pulizia:
# ------------------------------------------------------------------------- # Pulizia per simulazione TCLBANKER # ------------------------------------------------------------------------- $dllPath = "$env:ProgramFilesLogitechevil.dll" if (Test-Path $dllPath) { Write-Host "[+] Rimozione DLL dannoso disposto..." Remove-Item -Path $dllPath -Force } Write-Host "[+] Pulizia completa."