TCLBANKER là một mã độc ngân hàng mới đang được phát tán thông qua một trình cài đặt hợp lệ nhưng đã bị chỉnh sửa, tận dụng chữ ký số để tạo cảm giác tin cậy và làm tăng rủi ro bảo mật cho hệ thống người dùng.
Kỹ thuật lây nhiễm của TCLBANKER
Chiến dịch này được theo dõi với mã REF3076. Tệp phát tán là một ZIP chứa MSI installer độc hại, được ngụy trang thành bộ cài Logi AI Prompt Builder. Cách phát tán này dựa trên việc lợi dụng niềm tin vào tên phần mềm quen thuộc và installer đã ký số.
Khi nạn nhân chạy bộ cài giả mạo, chuỗi lây nhiễm bắt đầu bằng DLL sideloading. Ứng dụng hợp lệ sẽ tự động nạp một DLL độc hại mà người dùng không nhận ra bất kỳ dấu hiệu bất thường nào. Đây là điểm trọng yếu khiến mã độc TCLBANKER có thể vượt qua sự cảnh giác ban đầu.
Thành phần độc hại được thả xuống
Trong gói cài đặt bị trojan hóa, kẻ tấn công thả một DLL giả có tên screen_retriever_plugin.dll. Tệp này đóng vai trò như một Flutter plugin hợp lệ và được tải tự động khi ứng dụng khởi động. Cơ chế này giúp mã độc TCLBANKER ẩn mình trong luồng thực thi của phần mềm hợp pháp.
Tham khảo kỹ thuật về DLL sideloading tại nguồn phân tích sau: https://cybersecuritynews.com/double-dll-sideloading-technique-to-evade-detection/.
Hành vi của mã độc TCLBANKER
Theo phân tích của Elastic Security Labs, đây là một biến thể ngân hàng mới từ họ mã độc cũ hơn. Chiến dịch vẫn đang ở giai đoạn đầu, với một số dấu hiệu như artifact từ nhà phát triển và trang phishing chưa hoàn thiện, cho thấy hạ tầng vẫn đang được mở rộng.
Mã độc TCLBANKER chủ yếu nhắm tới người dùng truy cập các website ngân hàng, fintech và tiền mã hóa. Khi phát hiện trình duyệt truy cập một trong 59 tên miền tài chính đã được định sẵn, mã độc sẽ mở kết nối trực tiếp tới máy chủ điều khiển và trao quyền kiểm soát cho kẻ vận hành.
Khả năng đánh cắp và thao túng phiên làm việc
Phạm vi ảnh hưởng không chỉ dừng ở việc lấy cắp thông tin đăng nhập. Mã độc TCLBANKER có thể hiển thị lớp phủ toàn màn hình giả giống giao diện ngân hàng thật, đóng băng desktop để gây nhầm lẫn và kết thúc Task Manager nhằm ngăn người dùng dừng tiến trình độc hại.
Các kỹ thuật này cho thấy đây là một remote control trojan có khả năng hỗ trợ gian lận theo thời gian thực, thay vì chỉ đơn giản thu thập dữ liệu một lần rồi thoát.
Kỹ thuật né phát hiện trong mã độc TCLBANKER
Loader bên trong DLL được thiết kế để giảm tối đa khả năng bị phân tích. Nó kiểm tra xem hệ thống có đang chạy trong sandbox hay virtual machine, xác thực ngôn ngữ mặc định của người dùng là Brazilian Portuguese, và đo thời gian thực thi để phát hiện các môi trường mô phỏng tăng tốc lệnh sleep.
Nếu điều kiện không khớp, payload sẽ dừng hoạt động mà không để lại dấu vết rõ ràng. Cách tiếp cận này khiến mã độc TCLBANKER chỉ giải mã payload trên các máy thật đáp ứng đúng tiêu chí môi trường.
Chỉ báo hành vi cần chú ý
- Ứng dụng hợp lệ tải DLL ngoài dự kiến ở thời điểm khởi động.
- Tiến trình tự dừng khi phát hiện môi trường ảo hoặc sandbox.
- Ngôn ngữ hệ thống bị kiểm tra để đối chiếu Brazilian Portuguese.
- Hành vi đo thời gian bất thường để phát hiện emulation.
Cơ chế tự lây lan của mã độc TCLBANKER
Điểm nguy hiểm của chiến dịch nằm ở khả năng tự phát tán. Mã độc TCLBANKER đi kèm hai mô-đun worm để gửi chính nó sang danh bạ của nạn nhân qua các kênh vốn đã được tin cậy.
Mô-đun thứ nhất chiếm phiên WhatsApp Web đang hoạt động trên trình duyệt và âm thầm nhắn tin cho các liên hệ bằng một liên kết tải malware. Mô-đun thứ hai khai thác Microsoft Outlook thông qua automation để gửi email phishing trực tiếp từ tài khoản của nạn nhân.
Ảnh hưởng đến hệ thống và người dùng
Do thư được gửi từ tài khoản thật hoặc phiên làm việc thật, bộ lọc bảo mật khó phát hiện hơn bình thường. Mô-đun Outlook còn thu thập danh bạ của nạn nhân trước khi phát tán email, làm tăng mức độ lan truyền của mã độc TCLBANKER.
Với cách hoạt động này, một thiết bị bị nhiễm có thể trở thành điểm phát tán tiếp theo, mở rộng mối đe dọa mạng ra ngoài phạm vi một máy trạm đơn lẻ.
Hạ tầng điều khiển và phân phối
Elastic ghi nhận toàn bộ hạ tầng command và file-serving chạy trên Cloudflare Workers dưới một tài khoản duy nhất. Cách tổ chức này giúp kẻ vận hành xoay vòng hạ tầng nhanh khi cần thay đổi điểm phân phối hoặc máy chủ điều khiển.
Đây là chi tiết quan trọng khi xây dựng năng lực phát hiện xâm nhập và theo dõi các kết nối ra ngoài bất thường, đặc biệt trong các chiến dịch phát tán qua web và email.
IOC liên quan đến mã độc TCLBANKER
Phần nội dung gốc có nhắc đến IOC, nhưng danh sách địa chỉ IP và tên miền đã được làm mờ để tránh kích hoạt ngoài ý muốn. Khi xử lý trong môi trường kiểm tra hoặc nền tảng threat intelligence, cần re-fang trước khi nhập vào MISP, VirusTotal hoặc SIEM.
- Chiến dịch: REF3076
- Mã độc: TCLBANKER
- Tệp DLL giả: screen_retriever_plugin.dll
- Chuỗi phát tán: ZIP chứa MSI installer độc hại
- Kênh tự lây lan: WhatsApp Web, Microsoft Outlook
Biện pháp giảm thiểu rủi ro bảo mật
Việc cập nhật bản vá và giữ phần mềm bảo mật ở trạng thái mới nhất giúp tăng khả năng nhận diện các mẫu hành vi và chữ ký liên quan đến mã độc TCLBANKER. Ngoài ra, cần kiểm soát chặt các file ZIP hoặc MSI nhận qua email và ứng dụng nhắn tin, kể cả khi đến từ liên hệ quen thuộc.
Các tổ chức nên theo dõi các dấu hiệu như tiến trình bất thường, DLL ngoài dự kiến được nạp cùng phần mềm hợp lệ, tác vụ theo lịch không rõ nguồn gốc và kết nối outbound đáng ngờ. Đây là những tín hiệu phù hợp để triển khai IDS và cơ chế phát hiện tấn công.
Hướng kiểm tra thực tế trên hệ thống
tasklist /m
schtasks /query /fo LIST /v
wmic process get name,processid,commandline
netstat -anoNhững lệnh trên có thể hỗ trợ rà soát tiến trình, tác vụ và kết nối mạng khi cần xác minh dấu hiệu liên quan đến mã độc TCLBANKER. Với môi trường cần phân tích sâu, nên đối chiếu thêm log từ EDR, proxy và email gateway để tìm chuỗi lây nhiễm hoàn chỉnh.
Tham chiếu phân tích kỹ thuật
Nguồn phân tích gốc từ Elastic Security Labs có thể xem tại: https://www.elastic.co/security-labs/tclbanker-brazilian-banking-trojan.
