การโจมตีของแฮกเกอร์ต่อแพลตฟอร์มการเงิน
แฮกเกอร์กำลังโจมตีแพลตฟอร์มธนาคาร ฟินเทค และคริปโต 59 แห่ง โดยแพร่กระจายผ่านแอปพลิเคชันยอดนิยม เช่น WhatsApp และ Outlook. โทรจันที่เรียกว่า TCLBanker กำลังโจมตีระบบ Windows ผ่านแพ็คเกจติดตั้ง Microsoft ที่มีการปนเปื้อน.
การค้นพบและวิวัฒนาการของมัลแวร์
รายงานจาก BleepingComputer ระบุว่า โทรจันนี้ถูกค้นพบโดย Elastic Security Labs ซึ่งนักวิจัยเชื่อว่าเป็นวิวัฒนาการที่สำคัญของครอบครัวมัลแวร์เก่าอย่าง Maverick และ Sorvepotel.
การทำงานของ TCLBanker
รายงานระบุว่า TCLBanker ตรวจสอบอุปกรณ์ที่ติดเชื้อเพื่อดูเขตเวลา รูปแบบแป้นพิมพ์ และภูมิภาค. มัลแวร์นี้รวมโมดูลหนอนที่ช่วยให้มันแพร่กระจายโดยอัตโนมัติผ่าน WhatsApp และ Microsoft Outlook.
เมื่อเปิดเว็บไซต์ที่ถูกโจมตี มัลแวร์จะสร้างเซสชัน WebSocket กับเซิร์ฟเวอร์ควบคุมและเริ่มการดำเนินการควบคุมระยะไกล.
ความสามารถของ TCLBanker
ความสามารถของผู้ดำเนินการมัลแวร์รวมถึง:
- การสตรีมหน้าจอสด
- การจับภาพหน้าจอ
- การบันทึกการกดแป้นพิมพ์
- การแฮ็กคลิปบอร์ด
- การดำเนินการคำสั่งเชลล์
- การเข้าถึงระบบไฟล์
- การควบคุมเมาส์และแป้นพิมพ์จากระยะไกล
TCLBanker ยังใช้หน้าจอทับปลอมเพื่อเก็บข้อมูลประจำตัว PIN หมายเลขโทรศัพท์ และข้อมูลที่ละเอียดอ่อนอื่นๆ. หน้าจอทับเหล่านี้อาจรวมถึง:
- การแจ้งเตือนข้อมูลประจำตัวปลอม
- แป้นกด PIN
- หน้าจอรอการสนับสนุนจากธนาคาร
- หน้าจออัปเดต Windows
- หน้าจอความก้าวหน้าปลอม
เป้าหมายของ TCLBanker
BleepingComputer กล่าวว่า TCLBanker ดูเหมือนจะมุ่งเป้าไปที่แอปในบราซิล และตรวจสอบแถบที่อยู่เบราว์เซอร์ของเหยื่อทุกวินาทีและเฝ้าดูการเข้าชมไปยังแพลตฟอร์มที่ถูกโจมตี 59 แห่งของมัน.
