Elastic Security Labs, 59 banka, fintech ve kripto platformunu hedef alan yeni TCLBANKER zararlısını ortaya çıkardı. Gelişmiş anti-analiz teknikleri kullanan malware; WhatsApp Web ve Microsoft Outlook oturumlarını ele geçirerek kurbanın kendi hesapları üzerinden yayılım sağlayabiliyor.

TCLBANKER Alarmı: WhatsApp ve Outlook Üzerinden Yayılan Yeni Bankacılık Truva Atı

Siber güvenlik araştırmacıları, daha önce belgelenmemiş yeni bir Brezilya merkezli bankacılık truva atı olan TCLBANKER tehdidini ortaya çıkardı. Elastic Security Labs tarafından REF3076 adıyla takip edilen bu kampanya, 59 farklı banka, fintech ve kripto para platformunu hedef alabilecek kapasiteye sahip.

Tehdidin en dikkat çekici tarafı yalnızca finansal bilgileri çalmaya odaklanması değil. TCLBANKER, kurbanın WhatsApp Web oturumunu ve Microsoft Outlook hesabını kötüye kullanarak zararlı yazılımı kişinin kendi bağlantılarına yayabiliyor. Bu durum saldırıyı klasik e-posta güvenliği ve itibar tabanlı savunmalar için çok daha zor tespit edilir hale getiriyor.

TCLBANKER Tehdit Kapasitesi

Hedeflenen Finansal Platform 59
WhatsApp / Outlook Yayılım Riski Çok Yüksek
Anti-Analiz ve Sandbox Atlatma Gelişmiş
Uzaktan Kontrol Yeteneği Kritik

*Risk seviyeleri, araştırmacıların paylaştığı teknik kabiliyetlere göre SiberOdak tarafından yorumlanmıştır.

Saldırı Zinciri: Sahte ZIP Dosyasından Finansal Hırsızlığa

TCLBANKER saldırısı, zararlı bir MSI kurulum dosyasının ZIP arşivi içine gizlenmesiyle başlıyor. Bu kurulum paketi, Logitech’e ait imzalı Logi AI Prompt Builder uygulamasını kötüye kullanarak DLL side-loading tekniğiyle zararlı kodu çalıştırıyor.

Saldırganlar bu yöntemde screen_retriever_plugin.dll adlı kötü amaçlı DLL dosyasını devreye sokuyor. Bu dosya yalnızca belirli süreçler tarafından yüklendiğinde çalışıyor ve analiz araçlarını, sandbox ortamlarını, debugger’ları, antivirüs yazılımlarını ve güvenlik izleme mekanizmalarını tespit etmeye çalışıyor.

Teknik Detay: Zararlı yazılım, sistem dili, disk bilgileri ve anti-debugging kontrollerinden elde ettiği parmak izleriyle bir ortam hash değeri oluşturuyor. Bu değer doğru değilse gömülü zararlı yük çözülemiyor ve çalıştırma zinciri duruyor.

WhatsApp ve Outlook Güveni Silaha Dönüşüyor

TCLBANKER’ın en tehlikeli yönlerinden biri, yayılım için kurbanın zaten güvenilir görünen hesaplarını kullanması. WhatsApp Web oturumu ele geçirildiğinde zararlı mesajlar kurbanın kendi kişiler listesine gönderilebiliyor. Outlook tarafında ise kurbanın e-posta hesabı üzerinden phishing mesajları atılarak güvenilirlik algısı oluşturuluyor.

  • WhatsApp Web Worm: Açık kaynaklı otomasyon araçlarıyla mesaj gönderimini otomatikleştiriyor.
  • Outlook Spambot: Kurbanın Outlook uygulamasını kullanarak kişilere sahte e-postalar gönderiyor.
  • Güven İstismarı: Mesajlar gerçek hesaptan geldiği için alıcıların şüphe duyma ihtimali azalıyor.
  • Ölçeklenebilir Yayılım: Araştırmacılara göre saldırı, binlerce kişiye ulaşabilecek şekilde tasarlanmış durumda.

Operatöre Verilen Yetkiler

TCLBANKER, hedeflenen banka veya finans platformunun URL’sini tespit ettiğinde saldırganın komut gönderebilmesi için WebSocket bağlantısı kuruyor. Bu noktadan sonra zararlı yazılım yalnızca bilgi çalan basit bir trojan olmaktan çıkıp tam kapsamlı bir uzaktan kontrol aracına dönüşüyor.

Yetkinlik Saldırgan Açısından Etkisi Risk Seviyesi
Ekran Görüntüsü Alma Bankacılık oturumları ve kişisel bilgiler izlenebilir. Yüksek
Keylogger Başlatma Şifreler ve doğrulama bilgileri yakalanabilir. Kritik
Sahte Tam Ekran Overlay Kullanıcı sahte giriş ekranlarıyla kandırılabilir. Kritik
Fare ve Klavye Kontrolü Hesap işlemleri uzaktan manipüle edilebilir. Çok Yüksek
Dosya ve Süreç Yönetimi Sistemde kalıcılık ve veri toplama artırılabilir. Yüksek

Neden Önemli?

TCLBANKER, bankacılık zararlılarının geldiği yeni noktayı göstermesi açısından kritik bir örnek. Eskiden daha gelişmiş APT gruplarında görülen anti-analiz, ortam kontrollü payload çözme, WebSocket tabanlı gerçek zamanlı kontrol ve sosyal mühendislik overlay’leri artık daha yaygın suç yazılımlarının içine girmeye başladı.

Bu durum özellikle finans kurumları, kripto platformları ve son kullanıcı güvenliği açısından önemli. Çünkü saldırı yalnızca zararlı dosyanın tespit edilmesine bağlı değil; aynı zamanda güvenilir görünen WhatsApp mesajları ve Outlook e-postaları üzerinden de yayılabiliyor.

SiberOdak Analizi

TCLBANKER, klasik bankacılık trojanlarından daha tehlikeli bir modele işaret ediyor: zararlı yazılım artık sadece cihazı hedef almıyor, kullanıcının sosyal güven ağını da saldırı yüzeyine dönüştürüyor. WhatsApp ve Outlook gibi günlük kullanılan platformların yayılım kanalı haline gelmesi, kurumların sadece endpoint güvenliğine değil, kimlik, oturum ve davranış analitiğine de yatırım yapmasını zorunlu kılıyor. Bu kampanya şu an Brezilya odaklı görünse de kullanılan teknikler küresel ölçekte taklit edilebilir nitelikte.

Siber Odak Teknik Analiz Ekibi