Elastic Security Labs avertizează asupra troianului bancar TCLBanker, care se auto-propagă ca un vierme - malware-ul vizează 59 de platforme și se răspândește prin WhatsApp Web și Outlook

Un nou troian bancar, TCLBanker, combină furtul de date cu auto-răspândirea de tip „vierme”, ceea ce poate accelera infectările în rețele și organizații potrivit WinFuture . Malware-ul vizează zeci de servicii financiare și folosește atât tehnici de camuflare, cât și mecanisme automate de propagare prin canale uzuale de comunicare. De ce contează: trecerea de la „troian” la răspândire autonomă Cercetătorii de la Elastic Security Labs (care au documentat amenințarea) descriu TCLBanker drept o evoluție a unei familii mai vechi, Maverick. Diferența majoră este componenta de auto-propagare: odată ajuns pe un sistem, malware-ul poate încerca să se extindă singur către alte victime, fără să depindă exclusiv de pași manuali ai atacatorilor. Țintele sunt numeroase: TCLBanker ar urmări 59 de platforme, incluzând aplicații bancare clasice, servicii fintech și burse de criptomonede. Cum intră pe sistem și cum evită detecția Vectorul de infectare menționat este o versiune manipulată a unui kit de instalare pentru „Logitech AI Prompt Builder”. Rularea codului malițios se face printr-o tehnică numită DLL side-loading (încărcarea unei biblioteci malițioase în contextul unei aplicații legitime), ceea ce poate reduce șansele ca soluțiile de securitate „obișnuite” să alerteze imediat. Propagare prin WhatsApp Web și Outlook După infectare, TCLBanker include module care abuzează WhatsApp Web și Microsoft Outlook. Malware-ul ar scana listele de contacte și ar trimite automat mesaje de tip phishing sau linkuri infectate, exploatând încrederea dintre expeditor și destinatar pentru a găsi noi victime. În plus, în cod ar exista indicii („artefacte”) care sugerează că la dezvoltare ar fi putut fi folosite sisteme de inteligență artificială, fără ca materialul să ofere o confirmare fermă a acestui aspect. Ce poate face pe sistemul compromis Conform descrierii, TCLBanker monitorizează frecvent (la nivel de secunde) bara de adrese a browserului. Când utilizatorul accesează una dintre paginile vizate, malware-ul inițiază o conexiune către operatori, care pot obține control extins, inclusiv: transmiterea în timp real a ecranului (live streaming), înregistrarea tastelor (keylogging), control de la distanță al mouse-ului și tastaturii. Pentru furtul credențialelor, troianul folosește suprapuneri (overlay-uri) false: victimei i se afișează formulare care imită interfețele reale pentru PIN-uri sau parole, în timp ce datele sunt colectate în fundal. Pentru a rămâne ascuns, ar putea bloca și Task Manager-ul din Windows. Unde lovește acum și ce risc urmează În prezent, atacurile par concentrate pe utilizatori din Brazilia. Totuși, experții avertizează că malware-ul provenit din America Latină a fost, în trecut, adaptat rapid pentru ținte globale, iar rezistența la instrumente de analiză ar face din TCLBanker o amenințare relevantă și în afara pieței inițiale. [...]