文章总结： TCLBANKER是一种新型巴西银行木马，通过滥用罗技签名程序实现DLL侧加载绕过安全检测，采用环境哈希绑定解密技术确保Payload仅在特定系统环境下可执行。其核心功能包括UI自动化监控银行URL、WPF全屏钓鱼框架及通过WhatsApp和Outlook进行蠕虫式传播。该木马体现了APT级技术向黑产工具下沉的趋势，需警惕其利用合法基础设施的社会工程学攻击。 综合评分： 88 文章分类： 恶意软件,漏洞分析,社会工程学,安全工具,终端安全

防不胜防！当银行木马玩起“私域流量”：TCLBANKER 底层技术全解析

原创

Hankzheng Hankzheng

技术修道场

2026年5月13日 08:05 广东

在小说阅读器读本章

去阅读

哈喽各位老铁，Elastic Security Labs 的捕猎者们最近按住了一个尚未被记录的巴西银行木马，代号 TCLBANKER（威胁追踪编号为 REF3076）。

别看名字不起眼，这家伙的胃口极大，直接锁定了全球 59 个银行、金融科技和加密货币平台。从基因上看，它是之前 Maverick 木马的“究极进化版”。但真正让我感兴趣的，不是它黑了多少钱，而是它极其老道、甚至有点 APT 影子的底层技术栈。

今天，我就带大家深挖一下 TCLBANKER 的技术细节，看看现在的黑客为了搞灰产，技术内卷到了什么程度！

01. 偷天换日：用罗技签名白嫖免杀

咱们先来看看它的加载器是怎么绕过杀软的。大家都知道，现在做免杀硬扛 EDR 越来越难，所以黑产大佬们都喜欢“白嫖”合法签名。TCLBANKER 的攻击链起始于一个伪装成 ZIP 的恶意 MSI 安装包。

这里面藏着一个极其关键的合法程序——Logi AI Prompt Builder（这是一个带有罗技官方数字签名的程序）。黑客怎么利用它呢？老套路，DLL 侧加载。

他们把恶意的 DLL 伪装成 screen_retriever_plugin.dll 和罗技的主程序放在一起。当罗技程序启动时，就会顺手把这个恶意 DLL 拉起来。

🔧 技术亮点：强悍的看门狗子系统

• 白名单进程校验：

  恶意 DLL 被加载后，会立刻检查宿主进程。只有当宿主是 logiaipromptbuilder.exe 或者他们测试用的程序时，它才会继续执行，否则直接原地自尽。

• 暴力反分析：

  发现沙箱、调试器怎么办？TCLBANKER 直接通过替换内存库的方式，强行移除终端安全软件在 ntdll.dll 中下的所有用户态 Hook。更绝的是，它还会直接禁用掉 Windows 的事件跟踪遥测。这意味着，EDR 的眼睛基本被戳瞎了。

02. 环境哈希解密：走错一步，满盘皆输

这部分是我觉得最硬核的设计。传统的木马密钥往往硬编码在代码里，逆向老手分分钟就能抠出来。但 TCLBANKER 玩了一手“环境绑定解密”。

它会收集系统的三维数据：系统的反调试检查结果、磁盘信息以及系统语言（必须是巴西葡萄牙语）。它把这些数据糅合在一起，生成一个环境哈希值，并将其直接用作解密核心 Payload 的密钥！

💡 破局难点：

如果你试图用调试器挂载它，或者把它扔进一个非葡萄牙语的分析沙箱，它收集到的环境数据就会改变。哈希值一变，解密出的 Payload 就是一堆乱码。这种动态推导密钥的方式，极大拉高了逆向成本。

03. 核心运作机制：从精准狙击到全面接管

经过重重关卡，TCLBANKER 的核心组件终于被解密。除了建立计划任务实现持久化等基操，咱们看看它是怎么窃取数据的：

• UI Automation 监控 URL：

  它利用 Windows 原生的 UI Automation 接口，默默提取浏览器地址栏中的 URL。一旦发现你访问了银行名单中的地址，它会立刻通过 WebSocket 和 C2 服务器建立长连接。

• WPF 全屏钓鱼框架：

  偷密码时，它使用的是基于 WPF 的全屏覆盖框架。它能画出极其逼真的“Windows 更新条”、银行登录界面。最骚的是，它还能在屏幕截图工具下把这些界面隐藏起来。

04. “私域流量”式传播：WhatsApp 与 Outlook 蠕虫

偷完钱还不算完，TCLBANKER 还要榨干受害者的社交关系链。它的蠕虫模块会展开“两栖作战”：

1. WhatsApp Web 会话劫持： 利用开源项目 WPPConnect 自动化接管受害者的 WhatsApp 会话，疯狂给通讯录里的好友发送木马包。为了提高转化率，它还会智能过滤掉群聊和非巴西手机号。

2. Outlook 僵尸网络： 滥用 Outlook 的 COM 接口，直接从受害者的真实邮箱发钓鱼邮件。用的都是受害者自己真实的账号和基础设施，传统的邮件网关防御在面对这种“熟人作案”时基本处于瘫痪状态。

总结：黑产技术的“技术下沉”

目前来看，REF3076 组织的这波操作还在早期阶段，但这释放了一个危险信号：那些曾经是高级 APT 组织专属的手段——环境门控解密、直接系统调用、实时社工编排——现在已经被打包成了商品化黑产工具。

攻防对抗永远在升级，作为 IT 从业者，我们不能再用老眼光看待“银行木马”了。各位老铁，你们在日常工作中见过最阴的技术套路是什么？欢迎在评论区交流！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《防不胜防！当银行木马玩起“私域流量”：TCLBANKER 底层技术全解析》