اكتشف باحثون أمنيون من مختبرات Elastic Security Labs برنامجًا ضارًا جديدًا من نوع “حصان طروادة” البنكي البرازيلي، أطلقوا عليه اسم TCLBANKER. عندما يصيب هذا البرنامج جهازًا، فإنه يسيطر على حسابات الضحية في واتساب وأوتلوك، ثم يرسل رسائل تصيد احتيالي إلى جهات اتصاله.
كيف ينتشر البرنامج الضار؟
تقول مختبرات Elastic Security Labs إن البرنامج الضار يأتي على شكل مثبت مزيف لتطبيق “Logi AI Prompt Builder” الحقيقي من لوجيتك. المثبت موجود داخل ملف مضغوط (ZIP)، ويستخدم تقنية “تحميل DLL الجانبي” لتشغيل ملف ضار يشبه إضافة Flutter.
بمجرد تحميله، ينشر البرنامج الضار جزأين محميين بتقنية “.NET Reactor”. الجزء الأول هو وحدة بنكية، والثاني هو وحدة دودة قادرة على الانتشار الذاتي.
فحوصات مضادة للتحليل تمنع الباحثين
يقوم محمل البرنامج الضار ببناء “بصمة” خاصة بالجهاز من ثلاثة أجزاء. هذه البصمة تولد مفاتيح فك تشفير للحمولة المخفية. إذا اكتشف المحمل شيئًا غير طبيعي، مثل وجود برنامج تصحيح، أو بيئة اختبار معزولة (sandbox)، أو مساحة تخزين منخفضة، فإن عملية فك التشفير تنتج بيانات غير صالحة، ويتوقف البرنامج الضار بصمت.
يقوم المحمل أيضًا بتعديل وظائف التتبع في ويندوز لإخفاء نشاطه عن أدوات الأمان. كما ينشئ روابط مباشرة لاستدعاءات النظام لتجنب المراقبة.
يوجد مراقب دائم يبحث عن برامج التحليل الشائعة مثل x64dbg و Ghidra و IDA Pro. إذا تم العثور على أي منها، يتوقف البرنامج الضار عن العمل.
الوحدة البنكية تعمل فقط على أجهزة الكمبيوتر البرازيلية
الوحدة البنكية لا تنشط إلا على أجهزة الكمبيوتر الموجودة في البرازيل. يقوم البرنامج بفحص الموقع الجغرافي على الأقل مرتين، من خلال النظر في رمز المنطقة، والمنطقة الزمنية، وإعدادات اللغة المحلية، وتخطيط لوحة المفاتيح.
يقرأ البرنامج الضار شريط عنوان المتصفح النشط باستخدام أداة أتمتة ويندوز. يعمل هذا عبر متصفحات متعددة مثل كروم وفايرفوكس وإيدج وبراف وأوبرا وفيفالدي، ويراقب العناوين كل ثانية.
بعد ذلك، يقارن البرنامج العنوان بقائمة من 59 عنوانًا مشفرًا. تحتوي هذه القائمة على روابط لمواقع العملات الرقمية والبنوك وشركات التكنولوجيا المالية في البرازيل.
عندما يزور الضحية أحد هذه المواقع المستهدفة، يفتح البرنامج الضار قناة WebSocket اتصالاً بخادم بعيد. عندها يتحكم المخترق بالكامل في جهاز الضحية. يستخدم المخترق نافذة شفافة بدون حدود تغطي جميع الشاشات، لا تظهر في لقطات الشاشة، مما يمنع الضحية من مشاركة ما يراه.
تتضمن نافذة المخترق ثلاثة قوالب:
- نموذج تحويل مصرفي
- نموذج إدخال بريد إلكتروني
- نموذج لإدخال بيانات بطاقة الائتمان أو رمز التحقق (2FA)
روبوتات ضارة تنشر البرنامج البرازيلي عبر واتساب وأوتلوك
الجزء الثاني من البرنامج الضار ينتشر إلى ضحايا جدد بطريقتين:
- روبوت واتساب: يبحث عن جلسات واتساب ويب النشطة في متصفحات كروميوم، من خلال تحديد مواقع قواعد البيانات المحلية للتطبيق. يقوم الروبوت بنسخ ملف تعريف المتصفح، ثم يفتح نسخة مخفية من المتصفح (بدون واجهة رسومية). يحقن أوامر JavaScript لتجاوز أنظمة كشف الروبوتات، ويجمع جهات اتصال الضحية. في النهاية، يرسل رسائل تصيد تحتوي على ملف تثبيت البرنامج الضار إلى جهات اتصال الضحية.
- روبوت أوت لوك: يتصل عبر أتمتة نموذج الكائنات المكونة (COM)، وهي تقنية تسمح لبرنامج بالتحكم في برنامج آخر. يأخذ الروبوت عناوين البريد الإلكتروني من مجلد جهات الاتصال وسجل الرسائل الواردة، ثم يرسل رسائل تصيد باستخدام حساب الضحية. عنوان الرسالة هو “NFe disponível para impressão” (فاتورة إلكترونية جاهزة للطباعة). الرابط يؤدي إلى نطاق تصيد ينتحل شخصية منصة ERP برازيلية. نظرًا لأن الرسائل تُرسل من حسابات حقيقية، فمن المرجح أن تتجاوز مرشحات البريد العشوائي.
الأسئلة الشائعة (FAQ)
س: ما هو برنامج TCLBANKER الضار؟
ج: هو حصان طروادة بنكي من البرازيل. يساعد المخترقين على سرقة البيانات المصرفية والعملات الرقمية. ينتشر عبر تطبيق مزيف، ويسيطر على حسابات واتساب وأوتلوك للضحايا لإرسال رسائل تصيد إلى أصدقائهم.
س: كيف يحمي البرنامج الضار نفسه من الاكتشاف؟
ج: يستخدم فحوصات ذكية. إذا وجد برامج تحليل أو بيئة اختبار، يتوقف عن العمل بصمت. كما يخفي نشاطه عن أدوات الأمان، ويعمل فقط على أجهزة الكمبيوتر الموجودة داخل البرازيل.
س: ماذا يحدث بعد إصابة جهازي؟
ج: يتحكم المخترق بجهازك عن بعد. يضع نافذة شفافة فوق الشاشة لخداعك لإدخال بياناتك. كما يستخدم برنامج “دودة” لإصابة أصدقائك عبر إرسال روابط ضارة لهم من حسابك في واتساب أو بريدك الإلكتروني.
