TCLBanker、WhatsApp・Outlook経由で金融機関標的

TCLBanker、金融機関標的マルウェア活動を確認

Elastic Security Labsは、ブラジルの金融市場を対象としたトロイの木馬「TCLBanker」を確認した。本マルウェアは、銀行、フィンテック、暗号資産関連サービスを含む59のプラットフォームを標的としている。

TCLBankerは「REF3076」キャンペーンとして追跡されており、Logitech関連ソフトウェアを装ったZIP形式のインストーラーを通じて配布される。内部では「screen_retriever_plugin.dll」と呼ばれるDLLが利用され、Flutter関連プラグインを装う構成となっている。

当該DLLには、金融情報窃取機能に加え、ワーム型の拡散機能も含まれている。WhatsApp Webセッションを利用したファイル送信や、Microsoft Outlookを利用したメール送信機能を通じて拡散が行われる。

また、信頼済みアカウントを利用した配布により、受信者側で正規通信と判別しにくいケースが確認されている。銀行関連情報の取得機能も含まれており、ブラジル国内を中心に活動が確認されている。

Elasticは、ブラジル発マルウェアが他地域へ拡散した過去事例にも言及している。本件では、Outlook COMアクセスやブラウザプロファイルへの不審アクセス、DLLサイドローディング挙動などを含む監視の重要性が指摘されている。