資安業者Elastic揭露新型銀行木馬TCLBanker,可透過WhatsApp與Outlook自行擴散

來源:iThome(ID: 573) URLhttps://www.ithome.com.tw/news/176096 發布日期:2026-05-25 研究機構:Elastic Security Labs

摘要

Elastic Security Labs 揭露新型銀行木馬 TCLBanker,為 Maverick/Sorvepotel 惡意軟體家族的大幅升級版本。偽裝成羅技 Logi AI Prompt Builder MSI 安裝程式散布,主要針對巴西 59 個金融網站,具備 WhatsApp 與 Outlook 蠕蟲自我擴散能力。

技術細節

散布方式

  • 偽裝成 Logitech Logi AI Prompt Builder MSI 安裝程式

攻擊功能

  • 監控瀏覽器網址列,鎖定 59 個巴西銀行、金融與加密貨幣網站
  • 建立 WebSocket 連線接受攻擊者遠端控制
  • 鍵盤側錄、螢幕截圖、剪貼簿劫持
  • 執行 Shell 指令與存取檔案
  • 全螢幕登入覆蓋畫面誘騙輸入帳號密碼

蠕蟲模組

  • WhatsApp 蠕蟲:自動向聯絡人散播惡意訊息
  • Outlook 蠕蟲:自動發送釣魚郵件

地理鎖定

啟動時檢查地理區域、時區、預設語言與鍵盤配置,確認是否為巴西用戶,不符合則退出執行。但仍存在跨區域擴散風險。

威脅評估

  • 惡意軟體家族:Maverick/Sorvepotel 升級版
  • 主要目標:巴西金融用戶
  • 擴散風險:蠕蟲模組可能突破地理限制

衍生頁面