脅威ハンターは、これまで文書化されていなかったブラジル製バンキング型トロイの木馬「**TCLBANKER**」を特定しました。このマルウェアは、59の銀行、フィンテック、および仮想通貨プラットフォームを標的とする能力を持っています。 この活動は**Elastic Security Labs**によって「**REF3076**」というコードネームで追跡されています。このマルウェアファミリーは、Maverickトロイの木馬の大幅なアップデートと見なされており、MaverickはWhatsApp Webを介して拡散するSORVEPOTELというワームを利用することで知られています。Maverickキャンペーンは、**Trend Micro**がWater Saciと呼ぶ脅威クラスターに帰属しています。  ### 攻撃チェーン 攻撃チェーンの中核となるのは、堅牢な解析回避能力を持つローダーであり、2つの埋め込みモジュールを展開します。それは、フル機能のバンキング型トロイの木馬と、WhatsAppおよびMicrosoft Outlookを拡散に利用するワームコンポーネントです。 「観測された感染チェーンは、ZIPファイル内に悪意のあるMSIインストーラーをバンドルしています」と**Elastic**の研究者は述べています。「これらのMSIインストーラーパッケージは、Logi AI Prompt Builderという署名付き**Logitech**プログラムを悪用しています。」 マルウェアは、アプリケーションに対するDLLサイドローディングを利用して、悪意のあるDLL（"screen_retriever_plugin.dll"）を起動します。このDLLは、「包括的な監視サブシステム」を持つローダーとして機能します。このサブシステムは、検出を回避するために、解析ツール、サンドボックス、デバッガー、逆アセンブラー、インストルメンテーションツール、およびアンチウイルスソフトウェアを積極的に監視します。 悪意のあるDLLは、「logiaipromptbuilder.exe」（**Logitech**プログラム）または「tclloader.exe」（テスト中に使用される実行ファイルへの参照である可能性が高い）によってロードされた場合にのみ実行されます。また、「ntdll.dll」内にエンドポイントセキュリティソフトウェアによって配置されたユーザモードフックを削除し、Windowsイベントトレース（ETW）テレメトリを無効にします。 ### 回避技術 マルウェアは、アンチデバッグ、アンチ仮想化、システムディスク情報、および言語チェックに基づいて3つのフィンガープリントを生成します。これらを使用して環境ハッシュ値を生成し、埋め込まれたペイロードを復号します。システム言語チェックは、ユーザーのデフォルト言語がブラジルポルトガル語であることを保証します。 **Elastic**は次のように説明しています。「例えば、デバッガーが存在する場合、不正なハッシュが生成されるため、マルウェアがハッシュから復号キーを導出しようとすると、ペイロードは正しく復号されず、**TCLBANKER**の実行は停止します。」 ### トロイの木馬機能 これらのチェック後に起動されるメインコンポーネントは、バンキング型トロイの木馬です。ブラジルシステムで実行されていることを確認し、スケジュールされたタスクを使用して永続性を確立します。その後、基本的なシステム情報を含むHTTP POSTリクエストを外部サーバーに送信します。 **TCLBANKER**は、セルフアップデートメカニズムと、UI Automationを使用してフォアグラウンドブラウザのアドレスバーから現在のURLを抽出するURLモニターを組み込んでいます。これは、**Google Chrome**、**Mozilla Firefox**、**Microsoft Edge**、**Brave**、**Opera**、および**Vivaldi**のような人気のあるブラウザを標的にします。 抽出されたURLは、標的となる金融機関のリストと照合されます。一致が見つかった場合、リモートサーバーへのWebSocket接続を確立し、コマンドディスパッチループに入り、オペレーターがさまざまなタスクを実行できるようにします。 * シェルコマンドの実行 * スクリーンショットのキャプチャ * 画面ストリーミングの開始/停止 * クリップボードの操作 * キーロガーの起動 * マウス/キーボードのリモート制御 * ファイルとプロセスの管理 * 実行中のプロセスの列挙 * 表示されているウィンドウのリスト * 偽の認証情報窃取オーバーレイの提供 データ窃取のため、**TCLBANKER**はWindows Presentation Foundation（WPF）ベースのフルスクリーンオーバーレイフレームワークを使用して、認証情報収集プロンプト、vishing待機画面、偽の進捗バー、および偽のWindowsアップデートを使用したソーシャルエンジニアリングを実行します。その間、オーバーレイはスクリーンキャプチャツールから隠されます。 ### ワーム拡散 同時に、ローダーはワームモジュールを呼び出して、スパムおよびフィッシングメッセージを介してトロイの木馬を大規模に拡散させます。これは、WhatsApp WebワームとOutlook電子メールボットを含む2つのアプローチを採用しています。 SORVEPOTELと同様に、WhatsAppワームはサーバーからメッセージテンプレートを取得し、オープンソースプロジェクトWPPConnectを利用してメッセージ送信を自動化し、グループ、ブロードキャスト、およびブラジル以外の番号を除外します。 Outlookエージェントは、被害者のインストールされているMicrosoft Outlookアプリケーションを悪用して、被害者の電子メールアドレスからフィッシングメールを送信する電子メールスパムボットであり、スパムフィルターをバイパスし、メッセージに信頼性の錯覚を与えます。 ### 結論 「**TCLBANKER**は、ブラジルのバンキング型トロイの木馬エコシステム全体で起こっている広範な成熟を反映しています」と**Elastic**は結論付けています。「かつてはより洗練された脅威アクターの特徴であった環境ゲート付きペイロード復号、直接的なシステムコール生成、WebSocketを介したリアルタイムソーシャルエンジニアリングオーケストレーションといった技術が、現在ではコモディティ化された犯罪ウェアにパッケージ化されています。」 「このキャンペーンは、被害者の**WhatsApp**セッションと**Outlook**アカウントを乗っ取ることで、正規の通信の信頼性と配信性を継承しています。これは、従来の電子メールゲートウェイや評判ベースの防御策では対応が困難な配布モデルです。」