Специалисты из Elastic Security Labs выявили свежий банковский троян под названием TCLBanker, который атакует 59 платформ банков, финтеха и криптовалют.
Вредонос маскируется под установщик MSI от Logitech AI Prompt Builder и проникает через него. После установки он загружается в окружение настоящего приложения Logitech с помощью сторонней DLL и становится незаметным для большинства антивирусов.
TCLBanker хитро уклоняется от защитных систем. При обнаружении подозрительных признаков троян просто не активирует свои вредоносные функции.
Главный модуль для банковских атак каждую секунду мониторит адресную строку браузера с помощью Windows UI Automation API. Как только жертва заходит на сайт одной из 59 целевых платформ, троян выходит на связь с командным сервером, отправляя данные о системе и пользователе.
Операторы могут просматривать экран в реальном времени, перехватывать скриншоты, запись нажатий клавиш, буфер обмена, выполнять команды, манипуляции с окнами, получать доступ к файлам, а также управлять мышкой и клавиатурой удалённо. В ходе сессии троян может принудительно закрыть Диспетчер задач, чтобы скрыть свою активность.
Для хищения данных TCLBanker применяет фальшивые оверлеи. Он может показывать поддельные окна входа, ввода ПИН-кода, поддержки банка, экраны загрузки или даже имитацию обновления Windows, которые отвлекают жертву и маскируют кражу.
Отдельно исследователи выделяют модуль самораспространения. Троян выискивает данные WhatsApp Web* в профилях браузеров на базе Chromium, тайно запускает браузер и рассылает заразные сообщения контактам из адресной книги жертвы.
Тем временем пользователей iPhone начали атаковать новой фишинговой схемой, в которой злоумышленники пугают потерей данных в iCloud. Об этом сообщает издание The Guardian.
