**TCLBanker**は、広範な金融プラットフォームを標的とする洗練されたトロイの木馬です。**Elastic Security Labs**によって発見されたこのマルウェアは、古いMaverick/Sorvepotelマルウェアファミリーの重要な進化形であると研究者たちは考えています。 現在はブラジルに焦点を当てており、タイムゾーン、キーボードレイアウト、ロケールのチェックを行っていますが、過去の他のLATAMマルウェアと同様に、他の地域への拡大の可能性も懸念されています。 ## TCLBankerの機能 **Elastic**は、**TCLBanker**が分析やデバッグに対して高度に保護されていると警告しています。サンドボックスやアナリスト環境での実行を失敗させるように設計された、環境依存のペイロード復号ルーチンを採用しています。持続的なウォッチャースレッドが、x64dbg、IDA、dnSpy、Frida、ProcessHacker、Ghidra、de4de4dotなどの分析ツールを積極的に検索し、終了させます。  *標的となるプロセスを監視中。出典: Elastic* マルウェアは、正規の**Logitech**アプリケーションのコンテキスト内で、DLLサイドローディングを使用してロードされ、セキュリティ製品による検出を回避するのに役立ちます。研究者たちは、コードのアーティファクトに基づき、AIがマルウェアの開発に使用された可能性を示唆しています。 バンキングモジュールは、**Windows** UI Automation APIを使用して、1秒ごとにブラウザのアドレスバーを監視し、59の標的プラットフォームへのアクセスを監視します。検出されると、コマンド＆コントロール（C2）サーバーとのWebSocketセッションを確立し、被害者とシステム情報を送信し、リモートコントロール操作を開始します。これらの操作には以下が含まれます。 * ライブ画面ストリーミング * スクリーンショットキャプチャ * キーロギング * クリップボードハイジャック * シェルコマンド実行 * ウィンドウ管理 * ファイルシステムアクセス * プロセス列挙 * リモートマウス/キーボードコントロール アクティブセッション中、**タスクマネージャー**プロセスは、中断を防ぎ、悪意のあるアクティビティを隠蔽するために終了されます。 データ窃盗を容易にするため、**TCLBanker**はWPFベースのオーバーレイシステムを使用して、偽の認証情報プロンプト、PINキーパッド、電話番号収集フォーム、偽の「銀行サポート」待機画面、偽の**Windows Update**画面、およびさまざまな偽の進行状況画面を表示します。また、正規のアプリケーションの一部を選択的にマスクする「カットアウト」オーバーレイも利用します。  *偽のWindowsアップデートオーバーレイを生成中。出典: Elastic* ## WhatsAppとOutlookのワーム **TCLBanker**の重要な機能は、被害者の連絡先を通じて自己増殖する能力です。 マルウェアはChromiumブラウザプロファイルから認証済みの**WhatsApp Web** IndexedDBデータを検索し、非表示のChromiumインスタンスを起動して被害者のアカウントを乗っ取ります。  *WhatsAppアカウントを乗っ取り中。出典: Elastic* その後、連絡先を収集し、ブラジルの番号をフィルタリングして、侵害されたアカウントからスパムメッセージを送信し、**TCLBanker**の配布プラットフォームに誘導します。 別のワームモジュールは、COMオートメーションを介して**Microsoft Outlook**を悪用し、アプリケーションを起動し、連絡先と送信者アドレスを収集し、被害者のメールアカウントを通じてフィッシングメールを送信します。  *Outlookの連絡先を収集中。出典: Elastic* **Elastic**は、**TCLBanker**がLATAMマルウェアの進化を体現しており、下位のサイバー犯罪者に、かつては高度に洗練されたツールのみに限定されていた機能を提供していると結論付けています。 <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Mythosが発見したものの99%は未修正のままです。</a></h2> <p>AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSの両方のサンドボックスをバイパスしました。新しいエクスプロイトの波が到来します。</p> <p>Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように発見し、コントロールが有効であることを証明し、修正ループを閉じるかをご覧ください。</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">参加登録</a></p> </div> </div>