Пользователям 59 финансовых платформ грозит кража данных из-за нового трояна

Аналитики компании Elastic Security Labs обнаружили новый банковский троян TCLBanker, который нацелен на 59 финансовых, банковских и криптовалютных платформ.

Вредоносное программное обеспечение распространяется под видом установщика MSI для утилиты Logitech AI Prompt Builder. После проникновения в систему вирус внедряется в среду легитимного приложения Logitech с помощью сторонней библиотеки DLL, что позволяет ему обходить большинство антивирусных систем. При обнаружении защитных механизмов троян способен деактивировать свои функции для сохранения скрытности.

Основной модуль программы ежесекундно проверяет адресную строку браузера, используя Windows UI Automation API. При переходе пользователя на один из целевых сайтов троян связывается с командным сервером и передает туда системные и пользовательские данные. Злоумышленники получают возможность в реальном времени просматривать экран, делать скриншоты, перехватывать данные буфера обмена и нажатия клавиш. Также они могут удаленно управлять клавиатурой и мышью, получать доступ к файлам и принудительно закрывать Диспетчер задач.

Для кражи конфиденциальной информации TCLBanker использует систему фальшивых окон. Программа может выводить на экран поддельные формы авторизации, запросы ПИН-кодов, окна банковской поддержки или имитацию процесса обновления ОС Windows.

Специалисты отмечают наличие функции самораспространения. Троян ищет данные WhatsApp Web (принадлежит корпорации Meta, признанной в РФ экстремистской и запрещенной) в профилях браузеров на базе Chromium, после чего в фоновом режиме запускает браузер и осуществляет вредоносную рассылку по списку контактов жертвы.

Помимо этого, как передает издание The Guardian, владельцы устройств iPhone столкнулись с новой фишинговой схемой, в рамках которой мошенники запугивают пользователей возможной потерей данных в облачном хранилище iCloud.