Новый банковский троян TCLBanker атакует пользователей через поддельный установщик Logitech AI Prompt Builder и нацелен на 59 банковских, финтех- и криптовалютных платформ. По данным Elastic Security Labs, вредоносная программа не только крадёт данные, но и сама рассылает заражающие сообщения через WhatsApp и Microsoft Outlook.

Пока исследователи видят фокус на Бразилии: троян проверяет часовой пояс, раскладку клавиатуры и региональные настройки. Но такие семейства вредоносного ПО часто расширяют географию, поэтому сценарий важен и для российских пользователей: схема с поддельным установщиком, фальшивыми окнами входа и рассылкой от имени знакомого легко переносится на другие рынки.

Как TCLBanker попадает на компьютер

Elastic Security Labs связывает TCLBanker с развитием более старого семейства Maverick/Sorvepotel. Новая версия использует троянизированный MSI-установщик под видом Logitech AI Prompt Builder. Для обычного пользователя это выглядит как привычный файл установки программы: скачал, запустил, увидел знакомое название.

После запуска вредоносный компонент встраивается в контекст легитимного приложения Logitech через DLL side-loading — подмену загрузки библиотеки DLL рядом с настоящей программой. Такой приём помогает трояну выглядеть менее подозрительно для защитных средств на заражённом устройстве.

Исследователи также отмечают сильную защиту от анализа. TCLBanker проверяет среду, мешает запуску в песочницах и ищет инструменты специалистов по кибербезопасности. В коде нашли следы, которые могут указывать на использование ИИ при разработке, хотя сами функции трояна эксперты не называют по-настоящему передовыми.

Что делает банковский троян

Главный модуль следит за адресной строкой браузера примерно каждую секунду через интерфейсы Windows UI Automation. Если пользователь открывает сайт одной из 59 целевых платформ, троян связывается с управляющим сервером через WebSocket — постоянный веб-канал связи — и передаёт сведения о системе и жертве.

После этого операторы получают удалённый доступ к заражённому компьютеру. В описании Elastic перечислены трансляция экрана, снимки экрана, перехват буфера обмена, управление окнами, доступ к файлам, просмотр процессов, выполнение команд и удалённое управление мышью и клавиатурой.

Во время активной сессии вредоносная программа завершает процесс «Диспетчера задач». Так она снижает шанс, что пользователь заметит подозрительную активность и прервёт её.

Отдельный риск — фальшивые накладки поверх настоящих окон. TCLBanker может показывать поддельные формы ввода логина, PIN-клавиатуры, окна сбора номера телефона, экраны «поддержки банка», имитацию обновления Windows и псевдоиндикаторы загрузки. Человек думает, что общается с банком или системой, а данные уходят злоумышленникам.

Почему опасна рассылка через WhatsApp и Outlook

Самая неприятная часть TCLBanker — самостоятельное распространение. Троян ищет в профилях браузеров Chromium данные WhatsApp Web в хранилище IndexedDB, запускает скрытый экземпляр Chromium и захватывает активную сессию пользователя.

Затем программа собирает контакты, фильтрует номера по бразильскому признаку и отправляет им спам-сообщения со ссылками на площадки распространения TCLBanker. Для получателя такая ссылка выглядит убедительнее, потому что приходит от знакомого человека.

Второй модуль работает с Microsoft Outlook через COM-автоматизацию. Он запускает почтовый клиент, собирает контакты и адреса отправителей, после чего рассылает фишинговые письма из почтового ящика жертвы.

Это классический удар по доверию. Мы уже разбирали, как путаница в названиях и знакомые бренды помогают мошенникам в материале о том, как путаница в брендах бьёт по безопасности. Здесь логика та же: человек видит знакомое имя отправителя и реже проверяет ссылку.

Где пользователь чаще всего ошибается

Такие атаки редко начинаются с «технической магии». Чаще человек сам запускает файл, который считает полезной программой, обновлением или рабочим инструментом. Особенно опасны установщики из случайных каталогов, рекламных выдач и ссылок в чатах.

Похожий риск возникает с веб-входом в популярные сервисы. Пользователи ищут в поиске фразы вроде «discord in browser» или «discord login web», переходят по первой заметной ссылке и вводят пароль, не проверив адрес. Для мошенников это удобный сценарий: достаточно сделать страницу, похожую на привычный экран входа.

С банковскими сайтами ситуация ещё жестче. Если вредоносная программа уже работает на компьютере, она может показывать фальшивые окна поверх настоящей страницы и просить код, PIN или номер телефона. В этот момент обычная внимательность к адресу сайта уже не спасает полностью.

Поэтому защита начинается раньше: с контроля источников программ, обновлений системы и привычки не запускать вложения из переписок. Для Windows это особенно важно, потому что злоумышленники часто используют легитимные системные механизмы и маскируются под обычные приложения. О том, почему обновления платформы важны не только ради новых функций, мы писали в статье о безопасности новых сборок Windows 11.

Что сделать прямо сейчас

  • Скачивайте установщики только с официальных сайтов производителей и из доверенных магазинов приложений. Не запускайте MSI- и EXE-файлы, полученные в мессенджере или письме.
  • Проверяйте адрес сайта банка вручную. Не переходите к оплате или входу по ссылкам из чатов, писем и рекламных объявлений.
  • Включите подтверждение входа там, где оно доступно, и не вводите коды из SMS или приложения в окна, которые внезапно появились поверх сайта.
  • Если WhatsApp или Outlook начали рассылать сообщения без вашего участия, сразу отключите устройство от сети, смените пароли с другого чистого устройства и проверьте компьютер антивирусом.
  • Обновляйте Windows, браузер и защитное ПО. Старые версии чаще дают вредоносным программам шанс закрепиться в системе.
  • Не храните пароли в буфере обмена и не копируйте платёжные данные без необходимости: трояны часто следят за clipboard — буфером обмена.
  • Для работы в кафе, аэропорту или гостинице используйте сервис безопасного интернет-соединения, который помогает защитить трафик и приватность данных в публичных сетях.
  • Если банк просит установить «дополнительный модуль», «помощник» или «обновление безопасности», позвоните в банк по номеру с карты или официального сайта и уточните, существует ли такой инструмент.
Поделиться: