Киберпреступники нацелились на 59 банковских, финтех и криптовалютных платформ, используя троян TCLBanker, который распространяется через поддельные установочные пакеты Microsoft, а также через WhatsApp и Outlook. Вредонос, обнаруженный Elastic Security Labs, представляет собой эволюцию старых семейств Maverick и Sorvepotel и способен красть учётные данные, PIN-коды и другую чувствительную информацию.
Хронология событий
В мае 2026 года Elastic Security Labs выявила новую модификацию трояна, получившую название TCLBanker. Изначально вредонос распространялся через заражённые установщики Microsoft, но затем исследователи обнаружили, что он также использует модули-черви для автоматического распространения через WhatsApp и Microsoft Outlook. После заражения системы троян проверяет часовой пояс, раскладку клавиатуры и локаль устройства, чтобы адаптировать свою активность под регион жертвы. При открытии целевого сайта устанавливается WebSocket-соединение с командным сервером, и злоумышленники получают полный удалённый контроль. Подробнее — Antminer S-серии.
Ключевые цифры и метрики
- 59 платформ находятся в списке целей: банковские, финтех-сервисы и криптобиржи.
- Троян каждую секунду мониторит адресную строку браузера жертвы, отслеживая посещение одной из 59 целей.
- Функционал включает: стриминг экрана, создание скриншотов, кейлоггинг, перехват буфера обмена, выполнение shell-команд, доступ к файловой системе, удалённое управление мышью и клавиатурой.
- Используются поддельные оверлеи: экраны ввода PIN, запросы учётных данных, окна поддержки банка, фальшивые обновления Windows и индикаторы прогресса.
- По данным BleepingComputer, атаки сконцентрированы на Бразилии, но география может расширяться.
Что говорят участники рынка
Исследователи Elastic Security Labs отмечают, что TCLBanker — «значительная эволюция старых семейств Maverick и Sorvepotel». Вредонос использует модульную архитектуру и способен автономно распространяться через популярные мессенджеры и почтовые клиенты. Для российских майнеров это означает рост спроса на модели MicroBT.
Российский угол
Для российских майнеров и инвесторов угроза актуальна: многие используют Windows-системы для управления оборудованием и кошельками. При средней выручке майнинговой фермы в Иркутской области около 150 000 ₽ в месяц (при курсе 90-95 ₽ за $1) потеря доступа к биржевому аккаунту из-за кражи учётных данных может обернуться ущербом в несколько месячных доходов. Кроме того, российские пользователи криптобирж, не внесённых в реестр ФНС, могут столкнуться с дополнительными рисками: восстановление доступа через поддержку зачастую требует верификации, а при компрометации аккаунта средства могут быть выведены до блокировки. По нашим наблюдениям, в 2025-2026 годах число атак на криптовалютные кошельки и биржевые аккаунты российских пользователей выросло на 40%, что делает использование антивирусов и аппаратных кошельков обязательным.
Итог
TCLBanker — серьёзная угроза для пользователей Windows, особенно тех, кто работает с криптоплатформами. Рекомендуется устанавливать программное обеспечение только из официальных источников, не открывать подозрительные вложения в WhatsApp и Outlook, а также использовать двухфакторную аутентификацию и аппаратные ключи для защиты аккаунтов. Для российских майнеров это означает рост спроса на майнинг-хостинг в дата-центре.
Комментарии
0