Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

New TCLBanker malware self-spreads over WhatsApp and Outlook

1 minute de lecture

Mis à jour :

TCLBanker : Un nouveau cheval de Troie bancaire auto-diffusible

TCLBanker est un nouveau cheval de Troie bancaire ciblant 59 plateformes financières au Brésil. Dérivé de la famille Maverick/Sorvepotel, ce malware utilise une technique de « DLL side-loading » au sein d’une version piégée du logiciel Logitech AI Prompt Builder pour infecter les systèmes sans déclencher d’alertes antivirus.

Points clés :

  • Auto-propagation : Le malware intègre des modules « ver » capables d’usurper les comptes WhatsApp (via les données IndexedDB) et Outlook (via l’automatisation COM) pour diffuser des liens malveillants aux contacts de la victime.
  • Capacités de contrôle : Une fois actif, il permet le contrôle à distance complet (capture d’écran, keylogging, exécution de commandes, détournement du presse-papiers).
  • Techniques d’évasion : Protection anti-analyse robuste (détection des outils de debug et des environnements sandbox) et arrêt du Gestionnaire des tâches pour masquer ses activités.
  • Fraude visuelle : Utilisation de systèmes de superposition (overlays) pour afficher de fausses interfaces de connexion ou de faux écrans de mise à jour Windows afin de dérober des identifiants.

Vulnérabilités :

  • Aucune CVE spécifique n’est mentionnée ; le malware exploite le DLL Side-Loading (une pratique courante consistant à placer une DLL malveillante à côté d’un exécutable légitime) et l’abus de fonctionnalités légitimes comme l’automatisation COM d’Outlook et les API Windows UI Automation.

Recommandations :

  • Téléchargement sécurisé : Ne télécharger les logiciels qu’à partir des sites officiels des éditeurs et éviter les sources tierces proposant des installateurs MSI suspects.
  • Surveillance des communications : Être vigilant face aux messages inattendus envoyés par des contacts via WhatsApp ou Outlook, même s’ils semblent provenir de sources de confiance.
  • Segmentation et contrôle : Utiliser des solutions de sécurité capables de détecter les comportements d’exécution suspects (EDR) plutôt que de simples signatures, car le malware utilise des outils légitimes pour se dissimuler.
  • Politique de moindre privilège : Restreindre les droits d’exécution sur les postes de travail pour limiter l’installation de logiciels non autorisés.

Source

Vous pourriez aimer