周三下午,当你双击那个看起来人畜无害的"Logi AI Prompt Builder"安装程序时,一场精心设计的金融掠夺已经悄然启动。这不是科幻片的桥段,而是安全公司Elastic Security Labs刚刚曝光的真实攻击——黑客把罗技的合法签名安装包改造成了银行木马的特洛伊木马。
这个名为TCLBANKER的新型银行木马,正通过一场代号REF3076的攻击活动悄然蔓延。它的狡猾之处在于:完全复用了用户对知名品牌的信任。攻击者把恶意MSI安装包塞进ZIP文件,受害者看到的界面、图标、甚至数字签名,都和正版罗技软件别无二致。
真正的杀招藏在技术细节里。木马利用了"DLL侧加载"这个经典手法——当受害者启动安装程序时,系统会自动加载一个名为screen_retriever_plugin.dll的文件。这个名字伪装成Flutter框架的合法插件,实则是攻击者的恶意载荷。整个过程无需用户额外点击,"合法"程序已经替黑客完成了入侵。
Elastic的分析指出,TCLBANKER是MAVERICK和SORVEPOTEL两个旧家族的重大进化版本。从代码中遗留的开发者痕迹和尚未完工的钓鱼页面来看,这场攻击仍处于早期建设阶段,攻击者的基础设施还在持续扩建中。
目标定位相当精准:巴西的银行、金融科技和加密货币用户。木马会实时监控浏览器,比对59个预设的金融域名。一旦匹配成功,立即与攻击者的命令服务器建立实时连接,把机器的控制权完整移交。
它的破坏力远超普通的信息窃取。TCLBANKER能弹出全屏伪造的银行界面,冻结桌面让受害者误以为系统卡顿,甚至直接关闭任务管理器阻止用户终止进程。从攻击者的视角看,整个欺诈流程被设计得如丝般顺滑。
为了躲避安全分析,这个DLL加载器 packed 了多层反检测机制:检查是否在沙箱或虚拟机中运行,验证系统默认语言是否为巴西葡萄牙语,还会测量时间戳来识别加速执行的仿真环境。任何异常都会让木马静默退出,不留下明显痕迹——只有真正的目标机器才能触发最终的载荷解密。
更值得警惕的是其横向移动能力。TCLBANKER不仅盯着单台设备,还能从初始感染点向更广阔的网络蔓延。当金融欺诈与蠕虫式传播结合,传统依赖边界防御的安全策略正在面临失效风险。
这场攻击揭示了一个残酷现实:数字签名不再是可信的护城河,品牌背书也可能成为攻击者的伪装工具。对于普通用户而言,即便是从"看起来正规"的渠道下载软件,也需要保持对异常系统行为的警觉——毕竟,真正的罗技安装包,不会在你访问银行网站时突然"卡顿"。
热门跟贴