TCLBanker-kampanjen väcker stor oro efter att forskare upptäckt en banktrojan som kan sprida sig automatiskt genom WhatsApp och Microsoft Outlook.
Säkerhetsanalytiker varnade för att den skadliga koden riktar sig mot banktjänster, fintechplattformar och kryptovalutakonton samtidigt som den använder maskliknande funktioner för att infektera fler offer. Kampanjen använder dessutom falska programinstallatörer som utger sig för att vara legitima applikationer.
Falsk Logitech-installation levererar skadlig kod
Forskare upptäckte att TCLBanker-skadlig kod sprids genom en skadlig installatör som imiterar Logitech AI Prompt Builder-programvara. Offer som laddar ner och kör den falska installatören infekterar sina system utan att veta om det.
Angripare fortsätter att missbruka betrodda programvarumärken eftersom användare är mer benägna att installera applikationer som ser legitima ut. Falska installatörer är fortfarande en av de vanligaste metoderna för att sprida skadlig kod i både konsument- och företagsmiljöer.
När TCLBanker installerats distribuerar den flera skadliga komponenter som är utformade för att stjäla inloggningsuppgifter och övervaka användaraktivitet. Forskare uppgav att skadlig kod riktar sig mot dussintals finans- och kryptovalutaplattformar.
Kampanjen verkar främst fokusera på stöld av inloggningsuppgifter och ekonomiska bedrägerier.
WhatsApp- och Outlook-funktioner ökar hotet
Den farligaste funktionen kopplad till TCLBanker handlar om dess förmåga att sprida sig själv. Forskare upptäckte moduler som gör det möjligt för skadlig kod att automatiskt distribuera skadligt innehåll genom WhatsApp- och Microsoft Outlook-konton.
Funktionen gör det möjligt för infektioner att spridas snabbt genom betrodda kommunikationskanaler. Kontakter är mer benägna att öppna skadliga filer eller länkar när de verkar komma från personer de känner.
Säkerhetsforskare varnade för att självförökande skadlig kod snabbt kan orsaka stora utbrott inom företag och privata nätverk. När angripare väl får tillgång till kommunikationsplattformar kan skadlig kod röra sig lateralt utan att kräva avancerade exploateringstekniker.
Outlook-funktionen skapar ytterligare risker för företagsmiljöer eftersom infekterade system kan sprida skadliga e-postmeddelanden internt inom organisationer.
Bankskadlig kod fortsätter att utvecklas
Forskare noterade att moderna banktrojaner har utvecklats långt bortom enkla verktyg för lösenordsstöld. Operatörer bakom skadlig kod kombinerar nu stöld av inloggningsuppgifter, missbruk av kommunikationsplattformar, persistensmekanismer och automatiserade spridningsfunktioner.
Hotaktörer fortsätter också att rikta in sig allt mer på kryptovalutatjänster och fintechplattformar. Dessa tjänster ger ofta direkt åtkomst till digitala tillgångar och ekonomiska transaktioner.
Cybersäkerhetsexperter varnade för att angripare i allt högre grad utvecklar skadlig kod för att maximera spridningen istället för att bara rikta sig mot enskilda offer. Självspridande funktioner gör det möjligt för kampanjer att växa mycket snabbare efter de första infektionerna.
Kombinationen av finansiell skadlig kod och missbruk av kommunikationsplattformar fortsätter att skapa nya utmaningar för säkerhetsteam.
Organisationer bör övervaka misstänkt aktivitet
Säkerhetsanalytiker rekommenderade organisationer att övervaka ovanlig MSI-installationsaktivitet, misstänkta utgående e-postmeddelanden och obehörigt beteende kopplat till meddelandetjänster i anställdas konton.
Användare bör undvika att ladda ner programvara från inofficiella källor och verifiera installatörer innan de körs. Säkerhetsteam rekommenderade också att aktivera multifaktorautentisering på bank- och kryptovalutakonton för att minska riskerna kopplade till stulna inloggningsuppgifter.
Företag bör stärka övervakningen av endpoints och e-postfiltrering eftersom maskliknande skadlig kod kan spridas snabbt efter att angripare komprometterat en enda enhet.
Slutsats
TCLBanker-kampanjen visar hur banktrojaner fortsätter att utvecklas till mer aggressiva och automatiserade hot. Genom att kombinera stöld av inloggningsuppgifter med självförökande funktioner i WhatsApp och Outlook ökade angriparna den potentiella påverkan på både privata och företagsbaserade system. Säkerhetsforskare förväntar sig att liknande skadliga operationer fortsätter att växa när cyberkriminella grupper utvecklar automatiserad spridning och finansiellt riktade attacker.
0 svar till ”TCLBanker-skadlig kod sprids genom WhatsApp och Outlook”