TclBanker
Az Elastic kutatása szerint a TclBanker egy brazil eredetű banki trójai, amelynek különlegessége, hogy Tcl (Tool Command Language) nyelven írták, ami ritka a modern malware-ek között, és segíti a detekció elkerülését.
A fertőzési lánc jellemzően pszichológiai megtévesztéssel indul, majd egy loader komponens letölti és futtatja a Tcl-alapú payloadot. A malware célja elsősorban banki hitelesítési adatok megszerzése, különösen latin-amerikai pénzügyi intézmények felhasználóit célozva.
A TclBanker működése során a támadó a felhasználó böngészőjében megjelenő banki oldalakat manipulálja, vagy hamis bejelentkezési felületeket jelenít meg, így szerzi meg a credentialeket. Emellett képes billentyűleütések naplózására, képernyőfigyelésre és további parancsok végrehajtására is. A kampány a legitim kommunikáció bizalmát és kézbesíthetőségét örökli azáltal, hogy eltéríti az áldozatok WhatsApp-munkameneteit és Outlook-fiókjait. Ez egy olyan terjesztési modell, amelyet a hagyományos védelmi rendszerek nem képesek azonosítani.
A malware C2 kommunikációja távoli szerverekkel történik, ahonnan konfigurációkat és célbanki listákat tölt le, ami lehetővé teszi a dinamikus célzás módosítását. A Tcl használata, valamint a moduláris felépítés azt mutatja, hogy a támadók célja a detekciós minták megkerülése és a gyors adaptáció.
