Atacurile cibernetice asupra instituțiilor financiare devin din ce în ce mai sofisticate, iar TCLBANKER reprezintă un exemplu alarmant al acestei tendințe. Acest troian avansat nu se limitează la metodele tradiționale de înșelăciune, cum ar fi site-urile false sau fișierele suspecte, ci utilizează conturi autentice de WhatsApp Web și Microsoft Outlook pentru a răspândi mesaje infectate. Descoperit de Elastic Security Labs și catalogat sub numele REF3076, TCLBANKER vizează nu mai nesemnificativ de 59 de platforme din domeniile bancar, fintech și criptomonedă.
TCLBANKER este considerat o evoluție a familiei de malware Maverick, care a fost responsabilă pentru atacuri în Brazilia și a folosit anterior WhatsApp ca metodă de răspândire. Pericolul pe care îl prezintă acest troian începe cu un fișier ZIP care conține un installer MSI malițios, mascat sub forma unui program legitim, Logi AI Prompt Builder, semnat de Logitech. În realitate, acest program abuzează de mecanismul de încărcare DLL, iar fișierul „screen_retriever_plugin.dll” devine intrarea prin care troianul pătrunde în sistemul victimei.
Un aspect deosebit de îngrijorător este modul în care TCLBANKER își verifică mediul de operare înainte de a acționa. Acesta caută dovezi că se află pe un calculator Adevărat, evitând să se activeze în medii de analiză sau virtuale. De asemenea, verifică limba sistemului și alte semne care ar putea indica utilizarea sa în Brazilia. Dacă detectează ceva suspect, procesul se oprește.
Odată instalat, TCLBANKER își asigură persistența în Windows printr-o sarcină programată, trimițând informații despre sistem către un server extern. Acesta monitorizează activitatea din browserele populare, precum Chrome, Firefox, Edge, Brave, Opera și Vivaldi, având ca țintă platformele financiare. Răspândirea sa este un alt aspect care îl diferențiază de alte malware-uri: dacă victima are activat WhatsApp Web, troianul poate trimite mesaje infectate către contactele din contul adevărat. În Outlook, poate expedia e-mailuri de phishing către până la 3.000 de contacte.
După compromiterea sistemului, atacatorii au acces la o gamă largă de funcții, inclusiv capturarea ecranului, controlul tastaturii și mouse-ului, activarea unui keylogger, modificarea clipboard-ului și afișarea de feronete false pe ecran. Aceste feronete pot imita actualizări Windows sau formulare bancare, determinând victima să introducă informații sensibile gol a-și da seama. Această combinație de tehnici face din TCLBANKER o amenințare extrem de periculoasă în peisajul cibernetic Tineresc.
Se pare că recent au apărut informații despre un virus periculos care se răspândește prin intermediul platformelor de mesagerie precum WhatsApp și prin serviciile de email precum Outlook. Acest tip de amenințare cibernetică evidențiază importanța de a fi extrem de precaut atunci când interacționăm cu mesaje sau linkuri necunoscute. Utilizatorii ar trebui să fie atenți la mesajele care par suspecte sau care conțin atașamente neobișnuite, chiar dacă provin de la contacte cunoscute. De asemenea, este esențial să avem software de securitate actualizat și să aplicăm cele mai bune practici de securitate online pentru a ne proteja datele personale și dispozitivele. Rămâneți informați și educați-vă despre amenințările cibernetice pentru a putea preveni eventuale atacuri!
Se pare că virusul care circulă pe platformele WhatsApp și Outlook reprezintă o amenințare serioasă pentru utilizatori. Este esențial să fim vigilenți și să ne protejăm informațiile personale. Utilizatorii ar trebui să evite deschiderea linkurilor sau a atașamentelor suspecte și să își actualizeze constant software-ul de securitate. De asemenea, este recomandat să informăm și să educăm pe ceilalți despre aceste riscuri, pentru a preveni răspândirea virusului. Într-o eră digitală în continuă expansiune, securitatea cibernetică devine din ce în ce mai importantă.