Исследователи Elastic Security Labs описали новый банковский троян TCLBANKER, который нацелен на 59 банковских, финтех- и криптовалютных платформ. Он рассылает заражённые установщики через веб-версию WhatsApp и почтовый клиент Microsoft Outlook, используя доверие к контактам жертвы.

Пока кампания связана прежде всего с Бразилией, но её приёмы важны и для российских пользователей. Банковская кража всё чаще начинается не с письма от незнакомца, а с сообщения от коллеги, родственника или делового партнёра.

Как TCLBANKER попадает на компьютер

Цепочка заражения начинается с ZIP-архива, внутри которого лежит вредоносный MSI-пакет установщика. По данным Elastic, он злоупотребляет подписанной программой Logitech Logi AI Prompt Builder: вредоносная библиотека подгружается рядом с легитимным приложением и запускается под его прикрытием.

Такой приём называют DLL side-loading — подгрузкой динамической библиотеки через доверенное приложение. Для пользователя всё выглядит как обычный запуск установщика, но в системе уже работает загрузчик TCLBANKER.

Загрузчик ведёт себя осторожно. Он проверяет, не запущен ли отладчик, не работает ли файл внутри песочницы для анализа, нет ли признаков виртуальной машины и защитных инструментов. Если среда выглядит подозрительно для вредоносной программы, полезная нагрузка не расшифровывается, и атака останавливается.

Отдельная проверка смотрит на язык системы. В описанной кампании троян продолжает работу только на компьютерах с бразильским вариантом португальского языка. Это снижает риск раннего обнаружения за пределами целевого региона.

Почему атака через мессенджер и Outlook опаснее обычного спама

TCLBANKER использует два канала распространения. Первый — червь, то есть модуль самораспространения, который захватывает активную сессию мессенджера в браузере и отправляет сообщения контактам пользователя. Второй — почтовый бот, который рассылает фишинговые письма через установленный Microsoft Outlook.

Фишинг (от англ. phishing — выуживание) здесь маскируется особенно убедительно. Письмо или сообщение приходит не с безымянного адреса, а от знакомого аккаунта, с которым получатель уже общался. Защитные почтовые фильтры хуже ловят такие отправления, потому что они идут через легитимную инфраструктуру и реальную учётную запись.

По данным исследователей, заражённый компьютер может разослать вредоносный установщик до 3000 контактов. В мессенджере модуль отсекает группы, рассылки и номера вне Бразилии, что говорит о точной настройке кампании.

Российским пользователям эта схема знакома по другим атакам с подменой установщиков и архивов. Похожий риск мы разбирали в материале о том, как хакеры подменили установщики JDownloader: жертва сама запускает файл, потому что считает источник доверенным.

Что умеет банковский троян

После запуска TCLBANKER закрепляется в системе через запланированную задачу Windows и отправляет на удалённый сервер базовые сведения о компьютере. Затем он следит за адресной строкой активного браузера через механизмы автоматизации интерфейса.

Исследователи перечисляют среди целей популярные браузеры: Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera и Vivaldi. Троян сравнивает открытый адрес с жёстко заданным списком финансовых организаций. Если пользователь заходит на нужную платформу, вредоносная программа подключается к серверу операторов через WebSocket — постоянное веб-соединение.

После этого злоумышленники получают широкий набор инструментов. Они могут делать снимки экрана, включать потоковую передачу изображения, менять буфер обмена, запускать кейлоггер — программу для записи нажатий клавиш, управлять мышью и клавиатурой, просматривать файлы и процессы.

Самый опасный элемент — поддельные полноэкранные окна поверх реального сайта банка. Такие оверлеи имитируют запрос логина, код подтверждения, ожидание звонка от службы безопасности, индикатор прогресса или даже обновление Windows. Пользователь думает, что общается с банком или системой, а данные уходят операторам трояна.

Почему это не только бразильская история

Elastic связывает активность с группой REF3076 и считает TCLBANKER серьёзным обновлением семейства Maverick. В коде исследователи нашли признаки ранней стадии кампании: тестовые имена процессов, отладочные пути и недоделанный фишинговый сайт.

Это не делает угрозу слабой. Наоборот, ранние версии часто быстро меняются: разработчики исправляют ошибки, переводят шаблоны сообщений, добавляют новые цели и каналы рассылки. Техника, отработанная в одной стране, затем появляется в другой — уже с местными банками, языком и привычными формулировками.

Главный урок для пользователя прост: доверие к отправителю больше не гарантирует безопасность файла. Если аккаунт знакомого заражён, вредоносная ссылка придёт именно от него. Такой же принцип работал в кампаниях со стилерами, включая случай, когда фальшивый репозиторий OpenAI на Hugging Face раздавал стилер.

Как снизить риск прямо сейчас

  • Не открывайте ZIP-архивы и MSI-установщики из личных сообщений, даже если их прислал знакомый человек.
  • Уточняйте по другому каналу, что отправитель действительно хотел передать файл: позвоните или напишите в отдельном чате.
  • Скачивайте программы только с официальных сайтов разработчиков или из доверенных магазинов приложений.
  • Не вводите банковские логины, пароли и коды в неожиданных полноэкранных окнах, поверхностях «проверки» или «обновления».
  • Включите подтверждение операций в банковском приложении и лимиты на переводы, если банк поддерживает такие настройки.
  • Проверяйте список связанных устройств в мессенджерах и активные сессии в почте; завершайте неизвестные подключения.
  • Обновляйте Windows, браузер и защитное ПО: старые версии хуже распознают подозрительное поведение установщиков.
  • В публичных сетях для работы с платежами используйте сервис безопасного интернет-соединения, чтобы снизить риск перехвата данных.
  • Если подозреваете заражение, отключите компьютер от сети, смените пароли с другого устройства и сразу свяжитесь с банком.
Поделиться: