安全研究人员发现TCLBANKER，这是一种巴西银行木马，能够劫持WhatsApp和Outlook账户，向受害者的联系人传播加密货币网络钓鱼攻击。安全研究人员发现TCLBANKER，这是一种巴西银行木马，能够劫持WhatsApp和Outlook账户，向受害者的联系人传播加密货币网络钓鱼攻击。

TCLBANKER木马通过受害者自己的即时通讯账户传播

来源：Cryptopolitan

2026/05/10 06:10

阅读时长 8 分钟

如需对本内容提供反馈或相关疑问，请通过邮箱 crypto.news@mexc.com 联系我们。

Elastic Security Labs 的安全研究人员发现了一个名为 TCLBANKER 的新型巴西银行木马。一旦感染设备，它便会接管受害者的 WhatsApp 和 Outlook 账户，并向其联系人发送网络钓鱼信息。

此次攻击活动被标记为 REF3076。研究人员根据共同的基础设施和代码模式，将 TCLBANKER 与此前已知的恶意软件家族 MAVERICK/SORVEPOTEL 关联起来。

木马通过 AI 提示词构建器传播

Elastic Security Labs 表示，该恶意软件以 Logi AI Prompt Builder 的木马化安装程序形式出现，而 Logi AI Prompt Builder 是 Logitech 一款经过真实签名的应用程序。该安装程序以 ZIP 文件形式传播，并利用 DLL 侧加载技术运行一个伪装成 Flutter 插件的恶意文件。

加载完成后，该木马会部署两个受 .NET Reactor 保护的有效载荷。一个是银行模块，另一个是专为自我传播而构建的蠕虫模块。

加载完成后，该木马会部署两个受 .NET Reactor 保护的有效载荷。一个是银行模块，另一个是可自我传播的蠕虫模块。

Brazilian trojan hijacks WhatsApp to spread crypto phishing.

显示恶意文件的文件目录内容。来源：Elastic Security Labs。

反分析检测阻断研究人员

TCLBANKER 的加载器所构建的指纹由三个部分组成。

反调试检测。
磁盘和内存信息。
语言设置。

该指纹为嵌入式有效载荷生成解密密钥。若检测到异常情况，例如附加了调试器、沙箱环境或磁盘空间不足，解密过程将产生无效数据，恶意软件随即静默停止运行。

加载器还会修补 Windows 遥测功能，使安全工具失效，并创建直接系统调用跳板以规避用户模式钩子。

监控程序持续扫描分析工具，包括 x64dbg、Ghidra、dnSpy、IDA Pro、Process Hacker 和 Frida。一旦发现上述任何工具，有效载荷便会停止运行。

银行模块仅在巴西计算机上激活

银行模块仅在位于巴西的计算机上激活。系统至少会进行两次地理围栏检测，检查内容包括地区代码、时区、系统区域设置及键盘布局。

该恶意软件通过 Windows UI 自动化读取浏览器活动地址栏。它支持 Chrome、Firefox、Edge、Brave、Opera 和 Vivaldi 等多种浏览器，并每秒监控活动 URL。

恶意软件随后将 URL 与一份包含 59 个加密 URL 的列表进行匹配，该列表涵盖巴西的加密货币、银行及金融科技网站链接。

当受害者访问上述目标网站之一时，恶意软件便会向远程服务器发起 WebSocket 连接，黑客随即获得对该计算机的完全远程控制权。

获得访问权限后，黑客会利用一个覆盖层，在所有显示器上置顶显示一个无边框窗口。该覆盖层不会出现在截图中，受害者也无法与他人分享所见内容。

黑客的覆盖层包含三种模板：

附带虚假巴西电话号码的凭证收集表单。
虚假的 Windows Update 进度界面。
用于分散受害者注意力的"语音钓鱼等待界面"。

恶意机器人通过 WhatsApp 和 Outlook 传播巴西木马

第二个有效载荷通过以下两种方式将 TCLBANKER 传播给新受害者：

WhatsApp 网页版应用。
Outlook 收件箱/账户。

WhatsApp 机器人通过定位应用的本地数据库目录，在 Chromium 浏览器中查找活跃的 WhatsApp Web 会话。

该机器人克隆浏览器配置文件，随后启动一个无界面 Chromium 实例。根据维基百科的定义，"无界面浏览器是一种没有图形用户界面的网页浏览器"。它随后注入 JavaScript 以绕过机器人检测，并收集受害者的联系人信息。

最终，该机器人向受害者的联系人发送含有 TCLBANKER 安装程序的网络钓鱼信息。

Outlook 机器人通过组件对象模型（COM）自动化进行连接。COM 自动化允许一个程序控制另一个程序。

该机器人从联系人文件夹和收件箱历史记录中获取电子邮件地址，随后利用受害者的账户发送网络钓鱼邮件。

这些邮件的主题行为"NFe disponível para impressão"，英文含义为"电子发票可供打印"，并附有链接至冒充巴西 ERP 平台的钓鱼域名。

由于这些邮件从真实账户发出，因此更容易绕过垃圾邮件过滤器。

上周，Cryptopolitan 报道称研究人员发现了四款 Android 木马，它们利用虚假登录覆盖层攻击逾 800 款加密货币、银行及社交媒体应用。

另据报道，一款名为 StepDrainer 的恶意软件正通过虚假的 Web3 钱包连接界面，在逾 20 个区块链网络中持续盗取钱包资产。

如果您希望以更平稳的方式进入 DeFi 加密货币领域，而非被惯常的炒作裹挟，不妨从这个免费视频开始。

金、银、油——三大资产一次带走

200,000 USDT 奖池，100% 中奖！

免责声明: 本网站转载的文章均来源于公开平台，仅供参考。这些文章不代表 MEXC 的观点或意见。所有版权归原作者所有。如果您认为任何转载文章侵犯了第三方权利，请联系 crypto.news@mexc.com 以便将其删除。MEXC 不对转载文章的及时性、准确性或完整性作出任何陈述或保证，并且不对基于此类内容所采取的任何行动或决定承担责任。转载材料仅供参考，不构成任何商业、金融、法律和/或税务决策的建议、认可或依据。