TCLBanker新型銀行木馬可透過WhatsApp與Outlook自行擴散
Elastic Security Labs 揭露的新型銀行木馬,為 Maverick/Sorvepotel 惡意軟體家族大幅升級版本。主要針對巴西金融用戶,具備 WhatsApp 與 Outlook 蠕蟲自我擴散能力。
惡意軟體概要
- 名稱:TCLBanker
- 類型:銀行木馬(Banking Trojan)
- 家族:Maverick/Sorvepotel 升級版
- 揭露機構:Elastic Security Labs
- 揭露時間:2026-05-25
散布方式
偽裝成羅技(Logitech)Logi AI Prompt Builder MSI 安裝程式散布。
攻擊功能
金融竊取
- 監控瀏覽器網址列,鎖定 59 個巴西銀行、金融與加密貨幣網站
- 建立 WebSocket 連線接受攻擊者遠端控制
- 全螢幕登入覆蓋畫面誘騙輸入帳號密碼與 PIN 碼
遠端控制能力
- 鍵盤側錄(Keylogging)
- 螢幕截圖(Screenshot)
- 剪貼簿劫持(Clipboard Hijacking)
- 執行 Shell 指令
- 存取本機檔案
蠕蟲擴散模組
- WhatsApp 蠕蟲:自動向受害者聯絡人散播惡意訊息
- Outlook 蠕蟲:自動發送釣魚郵件
地理鎖定機制
啟動時檢查:地理區域、時區、預設語言、鍵盤配置。確認為巴西用戶才執行,否則退出。
注意:蠕蟲模組仍存在跨區域擴散風險。
威脅評估
雖明顯鎖定巴西,但蠕蟲特性使得跨境傳播成為潛在威脅。結合社交平台(WhatsApp)與企業郵件(Outlook)雙重擴散管道,擴散能力不容忽視。
相關實體
- elastic — 揭露此惡意軟體的資安業者