**TCLBanker** ist ein hochentwickelter Trojaner, der auf eine breite Palette von Finanzplattformen abzielt. Von **Elastic Security Labs** entdeckt, glauben Forscher, dass er eine bedeutende Weiterentwicklung der älteren Maverick/Sorvepotel-Malware-Familie darstellt. Obwohl er derzeit auf Brasilien fokussiert ist und Überprüfungen auf Zeitzone, Tastaturlayout und Gebietsschema durchführt, bleibt das Potenzial für eine Ausweitung auf andere Regionen eine Sorge, wie es bei anderer LATAM-Malware in der Vergangenheit der Fall war. ## TCLBanker-Fähigkeiten **Elastic** warnt, dass **TCLBanker** stark gegen Analyse und Debugging geschützt ist. Er verwendet umgebungsabhängige Payload-Entschlüsselungsroutinen, die in Sandboxes oder Analyseumgebungen fehlschlagen sollen. Ein persistenter Watchdog-Thread sucht aktiv nach Analysewerkzeugen wie x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra und de4dot und beendet diese.  *Überwachung auf Zielprozesse. Quelle: Elastic* Die Malware wird im Kontext der legitimen **Logitech**-Anwendung mittels DLL-Side-Loading geladen, was ihr hilft, der Erkennung durch Sicherheitsprodukte zu entgehen. Forscher vermuten, dass KI bei der Entwicklung der Malware verwendet worden sein könnte, basierend auf Code-Artefakten. Das Banking-Modul überwacht jede Sekunde die Adressleiste des Browsers mithilfe der **Windows** UI Automation APIs und achtet auf den Zugriff auf eine der 59 Zielplattformen. Bei Erkennung wird eine WebSocket-Sitzung mit dem Command-and-Control (C2)-Server aufgebaut, wobei Opfer- und Systeminformationen gesendet und Remote-Control-Operationen initiiert werden. Diese Operationen umfassen: * Live-Bildschirmstreaming * Screenshot-Erfassung * Keylogging * Clipboard-Hijacking * Ausführung von Shell-Befehlen * Fensterverwaltung * Dateisystemzugriff * Prozessaufzählung * Fernsteuerung von Maus/Tastatur Während aktiver Sitzungen wird der **Task Manager**-Prozess beendet, um Störungen zu vermeiden und bösartige Aktivitäten zu verbergen. Zur Erleichterung des Datendiebstahls verwendet **TCLBanker** ein WPF-basiertes Overlay-System, um gefälschte Anmeldeaufforderungen, PIN-Tastaturen, Formulare zur Erfassung von Telefonnummern, gefälschte „Bank-Support“-Wartebildschirme, gefälschte **Windows Update**-Bildschirme und verschiedene gefälschte Fortschrittsbildschirme anzuzeigen. Es verwendet auch „Cutout“-Overlays, die Teile legitimer Anwendungen selektiv maskieren.  *Erzeugung eines gefälschten Windows Update Overlays. Quelle: Elastic* ## WhatsApp und Outlook Würmer Ein wesentliches Merkmal von **TCLBanker** ist seine Fähigkeit, sich über die Kontakte des Opfers selbst zu verbreiten. Die Malware sucht in Chromium-Browserprofilen nach authentifizierten **WhatsApp Web** IndexedDB-Daten und startet eine versteckte Chromium-Instanz, um das Konto des Opfers zu kapern.  *WhatsApp-Konten kapern. Quelle: Elastic* Anschließend sammelt sie Kontakte, filtert nach brasilianischen Nummern und sendet Spam-Nachrichten von dem kompromittierten Konto, die zu den **TCLBanker**-Verteilungsplattformen führen. Ein weiteres Wurmmodul missbraucht **Microsoft Outlook** über COM-Automatisierung, startet die Anwendung, sammelt Kontakte und Absenderadressen und sendet Phishing-E-Mails über das E-Mail-Konto des Opfers.  *Outlook-Kontakte sammeln. Quelle: Elastic* **Elastic** kommt zu dem Schluss, dass **TCLBanker** die Entwicklung von LATAM-Malware veranschaulicht und Cyberkriminellen der unteren Ebene Funktionen bietet, die bisher nur hochentwickelten Werkzeugen vorbehalten waren. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.</a></h2> <p>KI hat vier Zero-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor.</p> <p>Auf dem Autonomous Validation Summit (12. &amp; 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, beweist, dass Kontrollen greifen, und den Behebungszyklus schließt.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Sichern Sie sich Ihren Platz</a></p> </div> </div>