TCLBanker新型銀行木馬可透過WhatsApp與Outlook自行擴散

Elastic Security Labs 揭露的新型銀行木馬,為 Maverick/Sorvepotel 惡意軟體家族大幅升級版本。主要針對巴西金融用戶,具備 WhatsApp 與 Outlook 蠕蟲自我擴散能力。

惡意軟體概要

  • 名稱:TCLBanker
  • 類型:銀行木馬(Banking Trojan)
  • 家族:Maverick/Sorvepotel 升級版
  • 揭露機構:Elastic Security Labs
  • 揭露時間:2026-05-25

散布方式

偽裝成羅技(Logitech)Logi AI Prompt Builder MSI 安裝程式散布。

攻擊功能

金融竊取

  • 監控瀏覽器網址列,鎖定 59 個巴西銀行、金融與加密貨幣網站
  • 建立 WebSocket 連線接受攻擊者遠端控制
  • 全螢幕登入覆蓋畫面誘騙輸入帳號密碼與 PIN 碼

遠端控制能力

  • 鍵盤側錄(Keylogging)
  • 螢幕截圖(Screenshot)
  • 剪貼簿劫持(Clipboard Hijacking)
  • 執行 Shell 指令
  • 存取本機檔案

蠕蟲擴散模組

  • WhatsApp 蠕蟲:自動向受害者聯絡人散播惡意訊息
  • Outlook 蠕蟲:自動發送釣魚郵件

地理鎖定機制

啟動時檢查:地理區域、時區、預設語言、鍵盤配置。確認為巴西用戶才執行,否則退出。

注意:蠕蟲模組仍存在跨區域擴散風險。

威脅評估

雖明顯鎖定巴西,但蠕蟲特性使得跨境傳播成為潛在威脅。結合社交平台(WhatsApp)與企業郵件(Outlook)雙重擴散管道,擴散能力不容忽視。

相關實體

  • elastic — 揭露此惡意軟體的資安業者

來源文章