Специалисты компании Elastic Security Labs обнаружили новый банковский троян TCLBanker, нацеленный на пользователей банковских, финтех- и криптовалютных сервисов. По данным исследователей, вредоносное программное обеспечение атакует 59 различных платформ.
Читайте: Госдума планирует ввести несколько новых запретов
Как сообщили эксперты, троян распространяется под видом установщика MSI для программы Logitech AI Prompt Builder. После запуска вредонос внедряется в среду настоящего приложения Logitech при помощи сторонней DLL-библиотеки, что позволяет ему скрывать активность от большинства антивирусных систем.
Исследователи отмечают, что TCLBanker способен обходить механизмы защиты. При обнаружении признаков анализа или подозрительной активности он не запускает вредоносные функции, чтобы не выдать свое присутствие.
Основной модуль трояна, предназначенный для атак на банковские сервисы, непрерывно отслеживает адресную строку браузера с помощью Windows UI Automation API. После перехода пользователя на сайт одной из целевых платформ вредонос связывается с командным сервером и передает информацию о системе и владельце устройства.
По данным Elastic Security Labs, операторы трояна получают широкий набор инструментов для удаленного управления зараженным компьютером. Они способны просматривать экран в режиме реального времени, перехватывать скриншоты, фиксировать нажатия клавиш и содержимое буфера обмена, а также управлять файлами, окнами, мышью и клавиатурой.
Во время работы вредонос может принудительно закрывать диспетчер задач Windows, чтобы пользователь не смог заметить подозрительную активность.
Для кражи данных TCLBanker использует поддельные интерфейсы. Троян способен выводить фальшивые окна входа в систему, экраны ввода PIN-кода, уведомления от службы поддержки банка, имитацию загрузки или обновления Windows. Подобные элементы отвлекают пользователя и маскируют процесс хищения информации.
Отдельное внимание специалисты обратили на встроенный механизм самораспространения. Вредонос ищет данные WhatsApp Web (принадлежит корпорации Meta, признанной экстремистской и запрещенной в России) в браузерах на базе Chromium, после чего скрытно запускает браузер и рассылает зараженные сообщения контактам жертвы.
Эксперты считают, что сочетание скрытности, функций удаленного управления и методов социальной инженерии делает TCLBanker одной из наиболее сложных банковских угроз последнего времени.
Читайте также:
- Новые правила ЖКХ вступили в силу: россиянам грозит перерасчет платежей с 1 мая
- С 1 мая грозят изменения в правилах езды для российских водителей
- Названо 5 законных способов реально увеличить пенсию в 2026 году
