TCLBANKER: WhatsAppとOutlook経由で拡散するブラジルのバンキングトロイの木馬

SOC Prime Team

フォローする

TCLBANKER: WhatsAppとOutlook経由で拡散するブラジルのバンキングトロイの木馬

Detection stack

AIDR
Alert
ETL
Query

脅威レポート
攻撃フロー
検出
シミュレーション

概要

このレポートでは、新たに特定されたブラジルのバンキングトロイの木馬TCLBANKERを検討しています。このマルウェアは、署名済みのLogitechインストーラを悪用して悪意のある.NETペイロードを配布します。マルウェアには、WPFオーバーレイを使用して金融セッションを標的とするバンキングコンポーネントと、WhatsApp WebとMicrosoft Outlookを悪用して拡散する2つのワームのようなモジュールが含まれています。コマンド・アンド・コントロール通信はCloudflare WorkersのWebSocketインフラを通じて処理され、マルウェアは検出や調査を困難にするために多様な解析回避技術を組み込んでいます。

調査

Elastic Security Labsは、悪意のあるMSIパッケージ、DLLサイドローディング手法、.NETローダー、両方の拡散モジュールを分析しました。研究者は、コマンド・アンド・コントロールのURL、APIキー、スケジュールされたタスクの持続性の詳細、およびマルウェアが標的としている59のブラジルのバンキングドメインのリストを回収しました。分析には、デバッグ防止ロジック、サンドボックス回避手法、マルウェアをアクティブかつ回復力を保つためのウォッチドッグの動作も記録されています。

緩和策

ディフェンダーは信頼されていないインストーラの実行をブロックし、DLLサイドローディングが含まれる LogiAiPromptBuilder.exeを監視し、Outlookとブラウザ環境に最小権限のコントロールを適用するべきです。検出コンテンツは、スケジュールされたタスク RuntimeOptimizeServiceもカバーするべきです。ネットワーク防御は、特定されたCloudflare WorkersのドメインとIPアドレス 191.96.224.96.

レスポンス

TCLBANKERが検出された場合は、影響を受けたエンドポイントを直ちに隔離し、悪意のあるプロセスを終了させ、スケジュールされたタスクを削除し、 %LocalAppData%LogiAI ディレクトリを削除してください。調査官は、DLLハッシュやコマンド・アンド・コントロールのトラフィックなどの法医学的証拠を保存して情報を共有すべきです。侵害されたOutlookとWhatsAppの資格情報はリセットし、追加の拡散の試みに備えて環境を監視してください。

graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef persistence fill:#ccccff classDef c2 fill:#ffdd99 %% ノード user_execution[“アクション – T1204.002 ユーザー実行 ユーザーがZIPから展開した悪性MSIを実行”] class user_execution action delivery_zip[“アクション – T1546.016 イベントトリガー実行: インストーラパッケージ 署名済みLogitechインストーラを利用してZIP内にMSIを配布”] class delivery_zip action malicious_msi[“マルウェア – 名称: 悪性MSI 説明: ZIP内に埋め込まれ、署名済みインストーラによって実行される”] class malicious_msi malware signed_logitech_installer[“ツール – 名称: Logitech Logi AI Prompt Builder インストーラ（署名済み）”] class signed_logitech_installer tool logiai_exe[“プロセス – 名称: LogiAiPromptBuilder.exe”] class logiai_exe process sideloader_dll[“マルウェア – 名称: screen_retriever_plugin.dll（Flutterプラグインを偽装）”] class sideloader_dll malware flutter_framework[“ツール – 名称: Flutterフレームワーク（信頼された開発ユーティリティ）”] class flutter_framework tool dotnet_reactor[“ツール – 名称: .NET Reactor パッカー”] class dotnet_reactor tool polymorphic_payload[“マルウェア – 名称: AES-256暗号化ペイロード 環境依存キーによりポリモーフィック動作”] class polymorphic_payload malware env_evasion[“アクション – T1497.002 仮想化/サンドボックス回避 ユーザー操作、デバッガ、仮想環境、地域チェック”] class env_evasion action locale_check[“アクション – T1614.001 システムロケーション検出 LCID、キーボード配列、タイムゾーン（pt-BR）を確認”] class locale_check action scheduled_task[“永続化 – T1053 スケジュールタスク ログイン時にRuntimeOptimizeServiceを非表示で作成”] class scheduled_task persistence screen_capture[“アクション – T1113 画面キャプチャ マルチモニターのフルスクリーンPNGを取得”] class screen_capture action keylogging[“アクション – T1056.001 入力取得: キーロギング 低レベルWH_KEYBOARD_LLフックを設置”] class keylogging action outlook_bot[“マルウェア – 名称: Outlook COM自動化ボット”] class outlook_bot malware phishing_action[“アクション – T1566 フィッシング 被害者のOutlookアカウントからフィッシングメール送信”] class phishing_action action email_bombing[“アクション – T1667 メールボム 収集した連絡先への大量フィッシング送信”] class email_bombing action network_logon_script[“アクション – T1037.003 ネットワークログオンスクリプト 永続的WebSocket接続を確立”] class network_logon_script action websocket_c2[“C2 – エンドポイント: wss://mxtestacionamentos.com/ws 認証: HMAC-SHA256”] class websocket_c2 c2 %% 接続 user_execution –>|トリガー| delivery_zip delivery_zip –>|含む| malicious_msi malicious_msi –>|実行| signed_logitech_installer signed_logitech_installer –>|起動| logiai_exe logiai_exe –>|読み込み| sideloader_dll sideloader_dll –>|使用| flutter_framework sideloader_dll –>|パック済み| dotnet_reactor sideloader_dll –>|含む| polymorphic_payload polymorphic_payload –>|回避| env_evasion env_evasion –>|含む| locale_check logiai_exe –>|作成| scheduled_task logiai_exe –>|画面取得| screen_capture logiai_exe –>|キー入力取得| keylogging logiai_exe –>|実行| outlook_bot outlook_bot –>|実行| phishing_action outlook_bot –>|実行| email_bombing logiai_exe –>|確立| network_logon_script network_logon_script –>|接続| websocket_c2

攻撃フロー

攻撃の説明＆コマンド：
1. 悪意のあるDLLを準備する – 攻撃者は悪意のあるDLL（evil.dll）を正当な LogiAiPromptBuilder.exeと同じディレクトリに配置します。DLLは署名されておらず、バンキングトロイの木馬のペイロードを含んでいます。
2. 正当なバイナリを実行する – 攻撃者は LogiAiPromptBuilder.exe をエクスプローラ（またはPowerShellセッション）から直接実行し、プロセスがOSのDLL検索順序（サイドローディング）によって悪意のあるDLLを読み込むようにします。
3. 結果のテレメトリ – Sysmon/Event ID 1 はプロセスの作成を記録し、その際 イメージ が logiaipromptbuilder.exe and で終わり、 が explorer.exeが親イメージであることを示します。親が除外リストに含まれているため、Sigmaルールは発火するべきです。 not in the exclusion list, the Sigma rule should fire.

リグレッションテストスクリプト：

# -------------------------------------------------------------------------
# TCLBANKER DLL サイドローディングシミュレーション - PowerShell
# -------------------------------------------------------------------------
# 1. パスを定義（異なるワークステーションで実行する場合は調整）
$logiPath = "$env:ProgramFilesLogitechLogiAiPromptBuilder.exe"
$dllPath  = "$env:ProgramFilesLogitechevil.dll"

# 2. ダミーの悪意のあるDLLを作成（デモのため、ただのメモ帳のコピー）
Write-Host "[+] 悪意のあるDLL（シミュレートされたペイロード）の準備中..."
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $dllPath -Force

# 3. 正当なバイナリを起動（親は現在のPowerShellプロセス）
Write-Host "[+] サイドローディングをトリガーするためにLogiAiPromptBuilder.exeを実行中..."
Start-Process -FilePath $logiPath -PassThru | Wait-Process

# 4. オプション：プロセスが記録されたことを確認（Sysmon/ELKアクセスが必要）
Write-Host "[+] シミュレーション完了。検出用のSIEMを検証してください。"

クリーンアップコマンド：

# -------------------------------------------------------------------------
# TCLBANKERシミュレーションのクリーンアップ
# -------------------------------------------------------------------------
$dllPath = "$env:ProgramFilesLogitechevil.dll"
if (Test-Path $dllPath) {
    Write-Host "[+] ステージされた悪意のあるDLLを削除中..."
    Remove-Item -Path $dllPath -Force
}
Write-Host "[+] クリーンアップ完了。"

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加