TCLBANKER バンキングトロイの木馬

サイバーセキュリティ研究者らは、これまで記録されていなかったブラジル発のバンキング型トロイの木馬「TCLBANKER」を発見した。これは、59の銀行、フィンテック、暗号通貨プラットフォームを標的とする高度なマルウェアである。この攻撃キャンペーンは現在REF3076という名称で追跡されており、かつてWater Saci脅威クラスターに関連付けられていた悪名高いMaverickマルウェアファミリーの著しい進化形であると考えられている。

TCLBANKERは、高度な解析回避メカニズム、ステルス性を重視したペイロード配信、および侵害された通信プラットフォームを通じた大規模な伝播機能を統合することにより、従来の攻撃手法をさらに発展させたものです。

回避のために構築された、巧妙な感染連鎖

この攻撃は、正規に署名されたLogitechアプリケーション「Logi AI Prompt Builder」を悪用するMSIインストーラーを含む悪意のあるZIPアーカイブから始まります。マルウェアはDLLサイドローディングを通じて、信頼できるアプリケーションに「screen_retriever_plugin.dll」という悪意のあるライブラリを強制的にロードさせます。このライブラリはプライマリローダーとして機能します。

このローダーは、検出を回避するために特別に設計された高度なウォッチドッグサブシステムを組み込んでいます。デバッガー、ウイルス対策製品、逆アセンブラ、サンドボックス、計測ツールなど、セキュリティ環境や分析環境を継続的にスキャンします。DLLの実行は、「logiaipromptbuilder.exe」や「tclloader.exe」（後者は内部テストに関連している可能性が高い）などの承認されたプロセスによって起動された場合にのみ実行されます。

セキュリティ監視をさらに回避するため、このマルウェアはエンドポイント保護ソリューションによって「ntdll.dll」内に配置されたユーザーモードフックを削除し、Windowsイベントトレース（ETW）テレメトリを無効にします。また、アンチデバッグチェック、仮想化検出、ディスク情報、オペレーティングシステムの言語設定に基づいて、複数のシステムフィンガープリントを作成します。これらのフィンガープリントから生成される環境ハッシュは、埋め込まれたペイロードの復号に使用されます。

このマルウェアは、標的システムがブラジルポルトガル語を使用しているかどうかを具体的に検証します。デバッグや分析の痕跡があるとハッシュ値が不正になり、ペイロードの復号化が失敗し、実行が完全に停止します。

システム全体を制御するために設計されたバンキング型トロイの木馬の機能

解析対策チェックが完了すると、主要なバンキング型トロイの木馬が展開されます。システムがブラジルのユーザーのものであることを確認した後、マルウェアはスケジュールされたタスクを通じて永続性を確立し、システム情報を含むHTTP POSTリクエストを使用して外部のコマンド＆コントロールサーバーに接続します。

TCLBANKERは自己更新機能を備え、UIオートメーション技術を用いてフォアグラウンドブラウザのアドレスバーからURLを抽出することで、ブラウザのアクティビティを積極的に監視します。このマルウェアは、以下のような広く使用されているブラウザを標的としています。

• Google Chrome

監視対象の銀行または暗号通貨ウェブサイトが検出されると、TCLBANKERはリモートサーバーへのWebSocket接続を開き、コマンド実行ループに入ります。これにより、攻撃者はシステム偵察、クリップボード操作、キーロギング、スクリーンショットキャプチャ、画面ストリーミング、リモートマウスおよびキーボード制御、プロセス管理、偽の認証情報収集オーバーレイの展開など、広範囲にわたる悪意のある活動をリモートで実行できるようになります。

高度なソーシャルエンジニアリングと認証情報の窃盗

TCLBANKERは、機密情報を盗むためにソーシャルエンジニアリングを多用します。このマルウェアは、Windows Presentation Foundation（WPF）ベースのフルスクリーンオーバーレイフレームワークを使用し、非常に巧妙なフィッシングインターフェースを表示します。これらのオーバーレイは、正規の銀行のプロンプト、偽のWindowsアップデート、プログレスバー、音声フィッシングの待機画面などを模倣し、被害者を騙して認証情報を漏洩させるように設計されています。

特に、これらのオーバーレイは画面キャプチャツールから隠されているため、検出やフォレンジック分析が著しく困難になる。

WhatsAppとOutlookがマルウェア配布ツールに転用される

このローダーは、バンキング型トロイの木馬に加えて、WhatsApp WebとMicrosoft Outlookの両方を通じて感染を大規模に拡散させるワームコンポーネントも展開します。WhatsAppモジュールは認証済みのブラウザセッションを乗っ取り、オープンソースのWPPConnectプロジェクトを利用して、被害者の連絡先へのメッセージ配信を自動化します。標的の効率を高めるため、このマルウェアはグループチャット、ブロードキャストリスト、ブラジル以外の電話番号を除外します。

Outlookコンポーネントは、被害者がインストールしたMicrosoft Outlookアプリケーションを悪用し、被害者自身のメールアドレスから直接悪意のあるメールを送信することで、フィッシングスパムボットとして機能します。これらのメッセージは正規のアカウントと信頼できるインフラストラクチャから送信されるため、従来のスパムフィルターや評判ベースのセキュリティシステムでは、この悪意のある活動を検出することが困難です。

このマルウェアは、侵害されたWhatsAppセッションとOutlookアカウントを利用して最大3,000人の連絡先にスパムメールを送信できると報じられており、被害者とその連絡先間の既存の信頼関係を悪用しながら、キャンペーンのリーチを劇的に拡大させている。

脅威の状況が拡大している兆候

研究者らは、REF3076はまだ運用初期段階にあると考えている。デバッグログのパス、未完成のフィッシングインフラ、テストプロセス名などの証拠から、攻撃者はキャンペーンの改良と拡大を続けていることが示唆される。

TCLBANKERはまた、ブラジルの銀行マルウェアのエコシステム内で急速に進化していることも指摘している。かつては高度な攻撃者のみが使用していた手法が、今では一般的なサイバー犯罪にも見られるようになっている。これらの機能には以下が含まれる。

• 環境ベースのペイロード復号
• システムコールの直接生成
• リアルタイムWebSocket駆動型ソーシャルエンジニアリング
• 乗っ取られた通信プラットフォームを介した信頼できるメッセージの伝播

TCLBANKERは、正規のWhatsAppおよびOutlookセッションを悪用することで、従来の多くのセキュリティ対策を効果的に回避します。この攻撃は、現代のバンキング型トロイの木馬が、高度なステルス技術、自動化技術、ソーシャルエンジニアリング技術をますます巧みに組み合わせ、非常に強靭で拡張性の高いサイバー犯罪活動を構築していることを示しています。