(AsiaGameHub) – Penyusup menggunakan TCLBanker, sebuah trojan Windows yang terkait dengan paket instalasi Microsoft yang tercemar, untuk menargetkan platform perbankan, fintech, dan kripto.
Informasi Penting
- TCLBanker memantau kunjungan ke 59 platform keuangan yang ditargetkan.
- Malware dapat menyebar melalui WhatsApp dan Microsoft Outlook.
- Layar overlay palsu mengumpulkan login, PIN, nomor telepon, dan detail sensitif lainnya.
Laboratorium Keamanan Elastic menemukan trojan ini dan percaya ia tumbuh dari keluarga malware lama Maverick dan Sorvepotel. BleepingComputer melaporkan bahwa kampanye ini tampaknya berfokus pada Brazil, di mana malware memantau aktivitas browser untuk kunjungan ke aplikasi dan situs yang ditargetkan.
TCLBanker tidak menunggu pengguna membuka halaman perbankan secara kebetulan. Ia memeriksa baris alamat browser setiap detik. Setelah seseorang membuka salah satu platform yang ditargetkan, malware terhubung ke server command-and-control melalui sesi WebSocket dan memberikan akses jarak jauh kepada operator.
Layar Palsu dan Kontrol Jarak Jauh Menggerakkan Serangan
Risiko utama berasal dari seberapa banyak kontrol yang diberikan TCLBanker kepada penyerang. Operator dapat memutar layar secara langsung, mengambil tangkapan layar, mencatat ketukan tombol, menyadap data papan klip, menjalankan perintah shell, menjelajah file, dan mengontrol mouse dan keyboard secara jarak jauh.
Itu membuat malware berbahaya untuk perbankan online, dompet kripto, dan akun fintech. Alamat dompet yang disalin, kata sandi yang diketik, atau kode sekali pakai dapat semuanya terpapar selama sesi aktif.
TCLBanker juga menggunakan layar overlay palsu untuk menipu pengguna. Layar tersebut dapat meniru permintaan kredensial, pad PIN, halaman menunggu dukungan bank, pesan Windows Update, dan bar kemajuan. Tujuannya tetap sama setiap kali: mengumpulkan data akun pribadi sambil membuat layar terlihat normal.
Sebelum memulai aktivitas yang lebih dalam, trojan memeriksa zona waktu, tata letak keyboard, dan lokal pada perangkat yang terinfeksi. Pemeriksaan tersebut membantu ia memutuskan apakah mesin tersebut cocok dengan target kampanye.
Metode penyebaran menambah masalah lain. TCLBanker menyertakan modul worm yang memungkinkannya bergerak secara otomatis melalui WhatsApp dan Outlook, memberikan penyerang akses ke sistem baru melalui aplikasi yang sudah dipercaya orang.
Artikel ini disediakan oleh penyedia konten pihak ketiga. AsiaGameHub (https://asiagamehub.com/) tidak memberikan jaminan atau pernyataan apa pun terkait isinya.
Kategori: Berita Terkini, Pembaruan Umum
AsiaGameHub menyediakan layanan distribusi iGaming yang ditargetkan untuk perusahaan dan organisasi, dengan menghubungkan lebih dari 3.000 media premium di Asia dan lebih dari 80.000 influencer spesialis. Platform ini menjadi jembatan utama untuk distribusi konten iGaming, kasino, dan eSports di seluruh kawasan ASEAN.