資安業者Elastic揭露新型銀行木馬TCLBanker，可透過WhatsApp與Outlook自行擴散

資安業者Elastic近日發布報告，揭露新型銀行木馬程式TCLBanker，該惡意程式不僅能竊取金融帳號密碼，也具備透過WhatsApp與Outlook散播的能力，該公司研判，這是既有Maverick／Sorvepotel惡意軟體家族的大幅升級版本。

Elastic研究人員指出，攻擊者是將TCLBanker偽裝成羅技（Logitech）的Logi AI Prompt Builder MSI安裝程式來散布，感染後，TCLBanker會監控受害者瀏覽器網址列，鎖定59個巴西銀行、金融與加密貨幣網站，當受害者瀏覽這些網站時，TCLBanker會與攻擊者控制的伺服器建立WebSocket連線，接受攻擊者的遠端控制，進行鍵盤側錄、螢幕截圖、剪貼簿劫持、執行Shell指令與存取檔案等操作，並可透過全螢幕的登入覆蓋畫面造成混淆，誘騙使用者輸入帳號密碼與PIN碼。

Elastic表示，TCLBanker還具備WhatsApp與Outlook蠕蟲功能模組，可自動向受害者的聯絡人散播惡意訊息與釣魚郵件。目前該惡意程式主要針對巴西，啟動時，會檢查受害電腦的地理區域、時區、預設語言與鍵盤配置，確認是否為巴西用戶，若不符合則會退出執行， 雖然明顯鎖定巴西使用者發動攻擊，但仍存在跨區域擴散的風險。