B
今週中
新種のバンキングトロジャン「TCLBanker」
📌 一言でいうと
新種のバンキングトロジャン「TCLBanker」が発見されました。このマルウェアはLogitech AI Prompt Builderを装った偽のMSIインストーラーを通じて感染し、WhatsAppやOutlookを利用して自己拡散する機能を備えています。現在は主にブラジルを標的としていますが、59の金融・仮想通貨プラットフォームを狙っており、分析回避機能が非常に強力である点が特徴です。
🔍該当判定
- 社内で『Logitech AI Prompt Builder』というソフトをインストールした、またはインストールを検討している
- 業務で『WhatsApp』をインストールしたPCを利用している
- 業務で『Outlook』をPCで利用しており、不審な添付ファイルを開いた可能性がある
- ブラジルなどのラテンアメリカ地域と取引があり、現地からメールやメッセージを受信している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なMSIファイルの実行を禁止し、WhatsAppやOutlook経由で送られてくる正体不明のリンクや添付ファイルを開かないようユーザーに周知してください。また、エンドポイント保護製品(EDR)の検知ルールを最新に更新してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメールやメッセージの添付ファイル開封について
お疲れさまです。情報システム担当です。
現在、Logitech社のソフトを装った偽のインストールファイルや、WhatsApp・Outlook経由で広がるウイルスが確認されています。
ご協力をお願いしたいこと:
1. 知り合いからであっても、心当たりのないファイルやリンクは絶対に開かないでください。
2. ソフトウェアのインストールは、必ず会社指定の正規ルートから行ってください。
3. 万が一、不審なファイルを開いてしまった場合は、すぐに情報システム担当まで報告してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
現在、Logitech社のソフトを装った偽のインストールファイルや、WhatsApp・Outlook経由で広がるウイルスが確認されています。
ご協力をお願いしたいこと:
1. 知り合いからであっても、心当たりのないファイルやリンクは絶対に開かないでください。
2. ソフトウェアのインストールは、必ず会社指定の正規ルートから行ってください。
3. 万が一、不審なファイルを開いてしまった場合は、すぐに情報システム担当まで報告してください。
対応期限: 本日中
Subject: [Security Alert] Caution Regarding Suspicious Emails and Messages
Dear employees,
We have received reports of a new virus spreading via WhatsApp and Outlook, often disguised as a Logitech software installer.
Please follow these guidelines:
1. Do not open any links or attachments from unknown or unexpected sources, even if they appear to be from acquaintances.
2. Only install software through company-approved official channels.
3. If you suspect you have opened a malicious file, please notify the IT security team immediately.
Deadline: Immediate
Dear employees,
We have received reports of a new virus spreading via WhatsApp and Outlook, often disguised as a Logitech software installer.
Please follow these guidelines:
1. Do not open any links or attachments from unknown or unexpected sources, even if they appear to be from acquaintances.
2. Only install software through company-approved official channels.
3. If you suspect you have opened a malicious file, please notify the IT security team immediately.
Deadline: Immediate
件名: 【共有】新種バンキングトロジャン「TCLBanker」への対応について
お疲れさまです。TCLBankerに関する情報共有です。
■ 概要
Logitech AI Prompt Builderを装ったMSIインストーラーを用いて感染し、WhatsAppおよびOutlookを通じて自己拡散する新種のトロジャンです。Maverick/Sorvepotelファミリーの進化版と見られ、強力なアンチデバッグ・アンチサンドボックス機能を搭載しています。
■ 影響範囲
- Windows OSを利用するエンドポイント
- 金融・仮想通貨関連サービス利用者
■ 対応手順
1. EDR/AVにおいて、不審なMSIファイルの実行および不自然な子プロセスの生成を監視してください。
2. WhatsApp/Outlook等の通信経路における不審なファイル転送のログを確認してください。
3. ユーザーに対し、非正規ルートからのソフトウェアインストール禁止を再徹底してください。
■ 参考情報
- Elastic Security Labs Analysis
対応優先度: 高
対応期限: 速やかに
お疲れさまです。TCLBankerに関する情報共有です。
■ 概要
Logitech AI Prompt Builderを装ったMSIインストーラーを用いて感染し、WhatsAppおよびOutlookを通じて自己拡散する新種のトロジャンです。Maverick/Sorvepotelファミリーの進化版と見られ、強力なアンチデバッグ・アンチサンドボックス機能を搭載しています。
■ 影響範囲
- Windows OSを利用するエンドポイント
- 金融・仮想通貨関連サービス利用者
■ 対応手順
1. EDR/AVにおいて、不審なMSIファイルの実行および不自然な子プロセスの生成を監視してください。
2. WhatsApp/Outlook等の通信経路における不審なファイル転送のログを確認してください。
3. ユーザーに対し、非正規ルートからのソフトウェアインストール禁止を再徹底してください。
■ 参考情報
- Elastic Security Labs Analysis
対応優先度: 高
対応期限: 速やかに
Subject: [Technical Info] New Banking Trojan "TCLBanker" Propagation
Dear Security Team,
This is a technical alert regarding the TCLBanker trojan.
■ Overview
TCLBanker is a banking trojan that targets 59 financial platforms. It utilizes a trojanized MSI installer (disguised as Logitech AI Prompt Builder) and employs worm modules for self-spreading via WhatsApp and Outlook. It features advanced environment-dependent decryption and a watchdog thread to detect analysis tools (x64dbg, IDA, etc.).
■ Scope
- Windows endpoints
- Users of banking and cryptocurrency platforms
■ Mitigation Steps
1. Update EDR/AV signatures and monitor for suspicious MSI executions.
2. Audit logs for unusual file transfers via messaging and email clients.
3. Enforce strict application whitelisting to prevent unauthorized software installation.
■ Reference
- Elastic Security Labs
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical alert regarding the TCLBanker trojan.
■ Overview
TCLBanker is a banking trojan that targets 59 financial platforms. It utilizes a trojanized MSI installer (disguised as Logitech AI Prompt Builder) and employs worm modules for self-spreading via WhatsApp and Outlook. It features advanced environment-dependent decryption and a watchdog thread to detect analysis tools (x64dbg, IDA, etc.).
■ Scope
- Windows endpoints
- Users of banking and cryptocurrency platforms
■ Mitigation Steps
1. Update EDR/AV signatures and monitor for suspicious MSI executions.
2. Audit logs for unusual file transfers via messaging and email clients.
3. Enforce strict application whitelisting to prevent unauthorized software installation.
■ Reference
- Elastic Security Labs
Priority: High
Deadline: Immediate