Pag-atake ng TCLBanker sa Banking at Fintech Platforms
Ayon sa mga ulat, ang mga hacker ay tumutok sa 59 na banking, fintech, at cryptocurrency platforms habang kumakalat sa mga sikat na aplikasyon tulad ng WhatsApp at Outlook. Isang trojan na tinatawag na TCLBanker ang umaatake sa mga Windows system sa pamamagitan ng mga kontaminadong Microsoft installation packages, ayon sa BleepingComputer. Natuklasan ito ng Elastic Security Labs, na naniniwala ang kanilang mga mananaliksik na ito ay isang malaking ebolusyon ng mas lumang pamilya ng malware na Maverick at Sorvepotel.
Kakayahan ng TCLBanker
Sinasabi ng ulat na ang TCLBanker ay nagche-check ng mga infected na device para sa timezone, keyboard layout, at locale. Ang malware ay may kasamang worm modules na nagpapahintulot dito na kumalat nang awtomatiko sa pamamagitan ng WhatsApp at Microsoft Outlook. Kapag ang isang target na site ay binuksan, ang malware ay lumilikha ng isang WebSocket session sa kanyang command-and-control server at nagsisimula ng mga remote control operations.
Mga Operasyon ng Malware
Ang mga kakayahan ng operator ng malware ay kinabibilangan ng:
- Live screen streaming
- Screenshots
- Keylogging
- Clipboard hijacking
- Shell command execution
- File system access
- Remote mouse at keyboard control
Gumagamit din ang TCLBanker ng mga pekeng overlay screens upang mangolekta ng mga credentials, PINs, numero ng telepono, at iba pang sensitibong impormasyon. Ang mga overlay na ito ay maaaring magsama ng:
- Pekeng credential prompts
- PIN keypads
- Mga waiting screen ng suporta sa bangko
- Mga Windows Update screens
- Mga pekeng progress screens
Ayon sa BleepingComputer, ang TCLBanker ay tila tumutok sa mga app sa Brazil, at minomonitor ang address bar ng browser ng biktima bawat segundo at nagmamasid para sa mga pagbisita sa isa sa 59 na target na platforms.
