MalwareHackerangriffeDatenschutz

TCLBANKER: Neuer brasilianischer Banking-Trojaner nutzt WhatsApp und Outlook zur Verbreitung

Von CyberDeutsch Redaktion
TCLBANKER: Neuer brasilianischer Banking-Trojaner nutzt WhatsApp und Outlook zur Verbreitung
Zusammenfassung

Der Banking-Trojaner TCLBANKER stellt eine neue Bedrohung für Finanznutzer weltweit dar. Die brasilianische Schadsoftware, entdeckt von Elastic Security Labs, zielt auf 59 Banking-, Fintech- und Kryptowährungsplattformen ab und wird als bedeutsamer Update des bekannten Maverick-Trojaners klassifiziert. Das Besondere an TCLBANKER ist seine duale Funktionsweise: Ein ausgefeilter Banking-Trojaner kombiniert sich mit einem Wurm-Modul, das sich über WhatsApp Web und Microsoft Outlook automatisch verbreitet. Die Malware nutzt ausgeklügelte Anti-Analyse-Techniken, darunter Umgebungs-Gate-Verschlüsselung und Debugger-Erkennung, um Sicherheitssoftware zu umgehen. Obwohl TCLBANKER bislang primär auf brasilianische Systeme abzielt – die Schadsoftware überprüft explizit die Systemsprache – könnte sie auch deutsche Nutzer und Unternehmen gefährden. Die Verbreitungsmethode über gehackte WhatsApp- und Outlook-Konten ist besonders tückisch, da sie Spam-Filter umgeht und den Nachrichten Legitimität verleiht. Für deutsche Finanzinstitute und deren Kunden bedeutet dieser Fall eine wichtige Warnung vor der wachsenden Sophistizierung von Banking-Trojaner-Kampagnen und der Notwendigkeit erhöhter Sicherheitsvorkehrungen.

Technische Analyse: Mehrschichtiger Angriffsmechanismus

Das Infektionsverfahren beginnt mit einem bösartigen MSI-Installer, der in einer ZIP-Datei verpackt ist. Dieser Installer missbraucht das signierte Logitech-Programm “Logi AI Prompt Builder” als Träger. Durch DLL-Sideloading wird anschließend die malware-haltige Datei “screen_retriever_plugin.dll” geladen, die als Loader mit umfassenden Anti-Analyse-Kapazitäten fungiert.

Das System führt kontinuierliche Überwachungen durch und prüft auf Analysewerkzeuge, Sandboxes, Debugger und Antivirensoftware. Besonders raffiniert ist die Umgebungsprüfung: Der Trojaner generiert drei Fingerprints basierend auf Anti-Debugging-, Anti-Virtualisierungs- und Sprachchecks. Diese werden zu einem Umgebungs-Hash kombiniert, der zur Entschlüsselung des Payloads verwendet wird. Kritisch ist die Sprachprüfung – die Malware verweigert die Ausführung, wenn das System nicht auf Brasilianisches Portugiesisch eingestellt ist. Ein weiterer Schutzmechanismus: Wenn ein Debugger aktiv ist, erzeugt dies einen falschen Hash, wodurch die Nutzlast nicht korrekt entschlüsselt wird und die Ausführung stoppt.

Banking-Trojaner mit Social-Engineering-Arsenal

Der Kernkomponente des Banking-Trojaners prüft zunächst erneut das Betriebssystem und etabliert dann Persistenz mittels geplanter Aufgaben. Danach sendet er Systemdaten an einen C2-Server und implementiert einen selbstaktualisierenden Mechanismus.

Besonders gefährlich ist die URL-Überwachung: Der Trojaner extrahiert die aktuelle URL aus der Adressleiste beliebter Browser (Chrome, Firefox, Edge, Brave, Opera, Vivaldi) mittels UI Automation. Stimmt die URL mit hinterlegten Zielen überein, baut der Trojaner eine WebSocket-Verbindung auf und wartet auf Befehle des Angreifers.

Zur Datendiebstahl nutzt TCLBANKER ein WPF-basiertes Vollbild-Overlay-Framework mit gefälschten Authentifizierungs-Prompts, Vishing-Wartebildschirmen, Fake-Fortschrittsbalken und täuschend echt aussehenden Windows-Updates – alles während die Overlays vor Screenshot-Tools verborgen bleiben.

Propagation über vertraute Kanäle

Die Verbreitungskomponente nutzt zwei Ansätze: Das WhatsApp-Web-Wurm-Modul kappert authentifizierte Browser-Sitzungen und sendet automatisiert Nachrichten basierend auf Server-Templates über das Open-Source-Projekt WPPConnect. Es filtert gezielt Gruppen, Broadcasts und Nicht-Brasilien-Nummern.

Das Outlook-Modul ist ein Email-Spambot, der das instalierte Microsoft Outlook missbraucht, um Phishing-Emails von der Opfer-Mailadresse zu versenden – wodurch Spam-Filter umgangen werden und eine Vertrauenswürdigkeit suggeriert wird.

Fazit: Professionalisierung der Cyberkriminalität

Elastic Security Labs konstatiert eine Reifung des brasilianischen Banking-Trojaner-Ökosystems. Techniken, die einst nur fortgeschrittene Akteure einsetzten – umgebungsgesteuerte Payload-Entschlüsselung, direkter Syscall-Generierung und Echtzeit-Social-Engineering über WebSocket – werden nun in Standard-Crimeware integriert. Die Nutzung echter Kommunikationskanäle wie WhatsApp und Outlook zur Propagation erschwert es traditionellen Email-Gateways und reputationsbasierten Systemen, die Bedrohung zu erkennen.

Ähnliche Artikel