TCLBANKER là một mối đe dọa mạng dạng banking trojan được theo dõi trong chiến dịch REF3076, nổi bật với cơ chế phát tán tự động qua WhatsApp và Microsoft Outlook. Đây là biến thể cập nhật từ các họ mã độc cũ hơn như Maverick và SORVEPOTEL, đồng thời sử dụng trình cài đặt Logitech có chữ ký số giả mạo để xâm nhập hệ thống.
Kỹ Thuật Xâm Nhập Ban Đầu
Chuỗi tấn công mạng bắt đầu khi nạn nhân tải về một tệp ZIP độc hại. Bên trong archive là bộ cài đặt giả mạo một chương trình hợp lệ của Logitech, có tên Logi AI Prompt Builder. Kẻ tấn công lợi dụng tệp được ký số hợp lệ để làm giảm nghi ngờ từ người dùng và một số lớp bảo vệ ban đầu.
Khi bộ cài được thực thi, nó dùng kỹ thuật DLL side-loading để ép ứng dụng Logitech hợp pháp nạp một file độc hại thay vì thành phần hệ thống bình thường. Sau khi được kích hoạt, loader ẩn này chiếm quyền điều khiển luồng thực thi và chuẩn bị cho các giai đoạn tiếp theo của cuộc tấn công mạng.
Kiểm Tra Môi Trường Phân Tích
TCLBANKER được thiết kế để né tránh phân tích. Trước khi giải nén hoàn chỉnh, mã độc kiểm tra xem máy có đang chạy trong security sandbox hay không. Nó tìm kiếm các công cụ gỡ lỗi, máy ảo và một số phần mềm antivirus cụ thể.
Mã độc cũng kiểm tra ngôn ngữ hệ thống và múi giờ để xác định có đúng là máy người dùng tại Brazil hay không. Nếu môi trường không khớp, payload sẽ từ chối giải mã, giúp nó ẩn mình trước các hệ thống quét tự động và giảm nguy cơ bị phát hiện xâm nhập.
Hoạt Động Của Banking Trojan
Khi xác nhận đang chạy trên máy thật, TCLBANKER kích hoạt payload chính. Mã độc liên tục giám sát trình duyệt web để phát hiện người dùng truy cập vào một trong 59 ngân hàng, nền tảng công nghệ tài chính hoặc website tiền mã hóa đã được nhắm mục tiêu.
Khi phát hiện trùng khớp, mã độc kết nối tới máy chủ từ xa để nhận lệnh và triển khai giai đoạn đánh cắp thông tin. Cơ chế này cho thấy mức độ nguy cơ bảo mật cao, đặc biệt trong các môi trường có người dùng truy cập dịch vụ tài chính thường xuyên.
Lớp Phủ Toàn Màn Hình Và Đánh Cắp Thông Tin
Để lấy cắp mật khẩu và mã xác thực, trojan sử dụng các lớp phủ toàn màn hình được xây dựng bằng Microsoft Windows Presentation Foundation. Các overlay này che phủ toàn bộ màn hình và mô phỏng chính xác prompt ngân hàng hoặc giao diện Windows Update hợp pháp.
Chúng còn vô hiệu hóa các phím tắt như Windows key hoặc Escape, đồng thời tắt công cụ chụp màn hình để ngăn nạn nhân ghi lại hành vi gian lận. Người dùng bị buộc nhập mã bảo mật hoặc PIN trực tiếp vào giao diện giả mạo.
Cơ Chế Lây Lan Tự Động
Điểm đáng chú ý của TCLBANKER là khả năng tự lây lan. Mô-đun đầu tiên nhắm vào WhatsApp Web. Mã độc quét máy tính để tìm các trình duyệt như Chrome hoặc Edge, sau đó kiểm tra xem có tài khoản WhatsApp đang hoạt động hay không.
Thay vì yêu cầu quét mã QR mới, malware bí mật sao chép dữ liệu phiên đã lưu. Tiếp theo, nó mở một cửa sổ trình duyệt ẩn, vượt qua cơ chế phát hiện bot và tự động gửi tin nhắn lừa đảo cùng file mã độc đến danh bạ của nạn nhân. Do tin nhắn đến từ tài khoản đáng tin cậy, tỷ lệ người nhận tải file rất cao.
Lây Qua Email Bằng Outlook
Nghiên cứu từ Elastic Security Labs cho thấy mô-đun lây lan thứ hai tập trung vào email. Nó lặng lẽ mở Microsoft Outlook ở nền và dùng Windows COM automation để kiểm soát hoàn toàn tài khoản email của nạn nhân.
Bot tìm kiếm danh bạ và hộp thư đến để thu thập liên hệ. Sau đó, nó tạo email lừa đảo mới và gửi đi từ chính địa chỉ email hợp lệ của người dùng bị nhiễm. Kỹ thuật này dễ vượt qua các bộ lọc bảo mật email tiêu chuẩn vì thư xuất phát từ nguồn đáng tin cậy.
Hạ Tầng Và Né Tránh Chặn Lọc
Tất cả hoạt động độc hại được điều phối qua các công cụ cloud serverless như Cloudflare Workers. Việc sử dụng dịch vụ hợp pháp giúp kẻ tấn công thay đổi hạ tầng nhanh chóng và tránh bị chặn bởi các biện pháp phòng thủ mạng đơn giản.
Chúng cũng lưu trữ file độc hại trên Cloudflare, khiến các liên kết tải xuống trông có vẻ an toàn với người dùng phổ thông. Theo ghi nhận, chiến dịch vẫn đang ở giai đoạn đầu, cho thấy hạ tầng có thể tiếp tục được mở rộng trong các đợt tấn công mạng tiếp theo.
IoC Và Dấu Hiệu Cần Theo Dõi
Do nội dung nguồn không cung cấp IP, domain, hash hay URL cụ thể ở phần IoC, các dấu hiệu điều tra hiện có chủ yếu là hành vi trên thiết bị và ứng dụng.
- Tiến trình nền bất thường được sinh ra từ các ứng dụng Logitech.
- Hành vi DLL side-loading từ bộ cài giả mạo.
- Hoạt động sao chép profile trình duyệt không được cấp phép.
- Lưu lượng email tăng bất thường từ Microsoft Outlook.
- Các lớp phủ toàn màn hình không rõ nguồn gốc xuất hiện trên máy trạm.
- Phiên WhatsApp Web bị tái sử dụng mà không có hành vi đăng nhập hợp lệ tương ứng.
Ghi chú: IP và domain trong nguồn đã được làm mờ để tránh truy cập ngoài ý muốn. Chỉ nên hoàn nguyên trong môi trường threat intelligence được kiểm soát như MISP, VirusTotal hoặc hệ thống SIEM.
Phát Hiện Xâm Nhập Và Giảm Thiểu Rủi Ro Bảo Mật
Để hỗ trợ phát hiện tấn công, đội ngũ an ninh nên giám sát các tiến trình nền bất thường được khởi tạo bởi ứng dụng Logitech, đặc biệt khi có dấu hiệu tải DLL từ thư mục không chuẩn. Đây là chỉ báo quan trọng trong quá trình phát hiện xâm nhập.
Cần theo dõi việc sao chép profile trình duyệt trái phép, đồng thời cảnh báo khi có spike lưu lượng email gửi ra từ Outlook. Việc triển khai endpoint protection có khả năng phát hiện full-screen overlay không hợp lệ cũng là biện pháp cần thiết để giảm rủi ro an toàn thông tin.
Trong môi trường doanh nghiệp, các dấu hiệu liên quan đến phát hiện xâm nhập nên được đối chiếu với hành vi đăng nhập, tiến trình Outlook, hoạt động trình duyệt và các thay đổi file trong thư mục ứng dụng Logitech. Khi có nghi vấn, cần cô lập máy trạm và kiểm tra toàn bộ chuỗi thực thi để ngăn hệ thống bị xâm nhập.
Tham Khảo Kỹ Thuật
Xem thêm mô tả kỹ thuật và bối cảnh theo dõi chiến dịch tại nguồn phân tích từ Elastic Security Labs.
