**TCLBanker** est un cheval de Troie sophistiqué ciblant un large éventail de plateformes financières. Découvert par **Elastic Security Labs**, les chercheurs estiment qu'il représente une évolution significative de la famille de malwares plus anciens Maverick/Sorvepotel. Bien qu'actuellement concentré sur le Brésil, avec des vérifications de fuseau horaire, de disposition du clavier et de locale, le potentiel d'expansion vers d'autres régions reste une préoccupation, comme on l'a vu avec d'autres malwares LATAM par le passé. ## Capacités de TCLBanker **Elastic** avertit que **TCLBanker** est fortement protégé contre l'analyse et le débogage. Il utilise des routines de déchiffrement de payload dépendantes de l'environnement, conçues pour échouer dans les sandboxes ou les environnements d'analystes. Un thread de surveillance persistant recherche et termine activement les outils d'analyse tels que x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra et de4dot.  *Surveillance des processus ciblés. Source : Elastic* Le malware est chargé dans le contexte de l'application légitime **Logitech** en utilisant le chargement latéral de DLL, ce qui l'aide à échapper à la détection par les produits de sécurité. Les chercheurs suggèrent que l'IA pourrait avoir été utilisée dans le développement du malware, sur la base d'artefacts de code. Le module bancaire surveille la barre d'adresse du navigateur chaque seconde à l'aide des API d'automatisation de l'interface utilisateur de **Windows**, à la recherche d'un accès à l'une des 59 plateformes ciblées. Lors de la détection, il établit une session WebSocket avec le serveur de commande et de contrôle (C2), envoie des informations sur la victime et le système, et initie des opérations de contrôle à distance. Ces opérations comprennent : * Diffusion d'écran en direct * Capture d'écran * Enregistrement de frappe (Keylogging) * Détournement du presse-papiers * Exécution de commandes shell * Gestion des fenêtres * Accès au système de fichiers * Énumération des processus * Contrôle à distance de la souris/clavier Pendant les sessions actives, le processus **Task Manager** est terminé pour éviter les perturbations et dissimuler l'activité malveillante. Pour faciliter le vol de données, **TCLBanker** utilise un système de superposition basé sur WPF pour afficher de fausses invites d'identification, des claviers PIN, des formulaires de collecte de numéros de téléphone, des écrans d'attente de "support bancaire" fictifs, de faux écrans **Windows Update**, et divers écrans de progression fictifs. Il utilise également des superpositions "découpées" qui masquent sélectivement des parties d'applications légitimes.  *Génération d'une fausse superposition de mise à jour Windows. Source : Elastic* ## Vers WhatsApp et Outlook Une caractéristique importante de **TCLBanker** est sa capacité à se propager via les contacts de la victime. Le malware recherche dans les profils du navigateur Chromium les données IndexedDB de **WhatsApp Web** authentifiées et lance une instance Chromium cachée pour détourner le compte de la victime.  *Détournement de comptes WhatsApp. Source : Elastic* Il collecte ensuite les contacts, filtre les numéros brésiliens et leur envoie des messages spam depuis le compte compromis, les dirigeant vers les plateformes de distribution de **TCLBanker**. Un autre module de ver abuse de **Microsoft Outlook** via l'automatisation COM, en lançant l'application, en collectant les contacts et les adresses d'expéditeurs, et en envoyant des e-mails de phishing via le compte de messagerie de la victime.  *Collecte de contacts Outlook. Source : Elastic* **Elastic** conclut que **TCLBanker** illustre l'évolution des malwares LATAM, offrant aux cybercriminels de bas niveau des fonctionnalités auparavant exclusives à des outils très sophistiqués. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% de ce que Mythos a trouvé n'est toujours pas corrigé.</a></h2> <p>L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du rendu et du système d'exploitation. Une vague de nouveaux exploits arrive.</p> <p>Lors du Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle le cycle de remédiation.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Réservez votre place</a></p> </div> </div>