資安業者Elastic揭露新型銀行木馬TCLBanker,可透過WhatsApp與Outlook自行擴散
來源:iThome(ID: 573) URL:https://www.ithome.com.tw/news/176096 發布日期:2026-05-25 研究機構:Elastic Security Labs
摘要
Elastic Security Labs 揭露新型銀行木馬 TCLBanker,為 Maverick/Sorvepotel 惡意軟體家族的大幅升級版本。偽裝成羅技 Logi AI Prompt Builder MSI 安裝程式散布,主要針對巴西 59 個金融網站,具備 WhatsApp 與 Outlook 蠕蟲自我擴散能力。
技術細節
散布方式
- 偽裝成 Logitech Logi AI Prompt Builder MSI 安裝程式
攻擊功能
- 監控瀏覽器網址列,鎖定 59 個巴西銀行、金融與加密貨幣網站
- 建立 WebSocket 連線接受攻擊者遠端控制
- 鍵盤側錄、螢幕截圖、剪貼簿劫持
- 執行 Shell 指令與存取檔案
- 全螢幕登入覆蓋畫面誘騙輸入帳號密碼
蠕蟲模組
- WhatsApp 蠕蟲:自動向聯絡人散播惡意訊息
- Outlook 蠕蟲:自動發送釣魚郵件
地理鎖定
啟動時檢查地理區域、時區、預設語言與鍵盤配置,確認是否為巴西用戶,不符合則退出執行。但仍存在跨區域擴散風險。
威脅評估
- 惡意軟體家族:Maverick/Sorvepotel 升級版
- 主要目標:巴西金融用戶
- 擴散風險:蠕蟲模組可能突破地理限制
衍生頁面
- TCLBanker新型銀行木馬可透過WhatsApp與Outlook自行擴散 — 惡意軟體概念頁面
- elastic — 揭露此事件的資安業者