B
今週中
ブラジルの金融プラットフォームを標的とした新型バンキングトロジャン「TCLBANKER」が検出されました
📌 一言でいうと
ブラジルの金融プラットフォームを標的とした新型バンキングトロジャン「TCLBANKER」が検出されました。このマルウェアはWhatsApp WebやMicrosoft Outlookを介して拡散するワーム機能を備えており、59の銀行や仮想通貨プラットフォームを標的にしています。攻撃者はLogitechの署名済みプログラムを悪用して検知を回避し、感染を広げる手法を用いています。
🔍該当判定
- WhatsApp Webを業務で利用している
- Microsoft Outlookをメールソフトとして利用している
- Logitech(ロジクール)製のソフトウェアをPCにインストールしている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審な送信元からのメッセージや添付ファイル(特にZIPやMSI形式)を開かないこと。エンドポイント保護製品(EDR)の更新と、不審なプロセスの監視を強化すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメッセージや添付ファイルへの警戒について
お疲れさまです。情報システム担当です。
WhatsAppやOutlookを通じて、知人を装った不審なファイル(ZIP形式など)を送りつけ、PCをウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いからの連絡であっても、心当たりのないファイルやリンクは絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合は、すぐにPCをネットワークから切り離し、情シス担当まで報告してください。
対応期限: 本日中(継続的な注意をお願いします)
お疲れさまです。情報システム担当です。
WhatsAppやOutlookを通じて、知人を装った不審なファイル(ZIP形式など)を送りつけ、PCをウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いからの連絡であっても、心当たりのないファイルやリンクは絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合は、すぐにPCをネットワークから切り離し、情シス担当まで報告してください。
対応期限: 本日中(継続的な注意をお願いします)
Subject: [Security Alert] Beware of Suspicious Messages and Attachments
Dear employees,
We have received reports of malware spreading via WhatsApp and Outlook, often disguised as messages from known contacts containing malicious ZIP files.
Requested Actions:
1. Do not open any unexpected files or links, even if they appear to come from someone you know.
2. If you suspect you have opened a malicious file, please disconnect your device from the network and notify the IT security team immediately.
Deadline: Immediate / Ongoing
Dear employees,
We have received reports of malware spreading via WhatsApp and Outlook, often disguised as messages from known contacts containing malicious ZIP files.
Requested Actions:
1. Do not open any unexpected files or links, even if they appear to come from someone you know.
2. If you suspect you have opened a malicious file, please disconnect your device from the network and notify the IT security team immediately.
Deadline: Immediate / Ongoing
件名: 【共有】TCLBANKERバンキングトロジャンの拡散について
お疲れさまです。TCLBANKERに関する情報共有です。
■ 概要
ブラジルの金融機関を標的とした新型トロジャンで、WhatsApp WebおよびOutlookを介して拡散するワーム機能を搭載しています。Logitechの署名済みプログラム(Logi AI Prompt Builder)を悪用して検知を回避するDLLサイドローディング等の手法が用いられています。
■ 影響範囲
- WhatsApp WebおよびMicrosoft Outlookを利用している全端末
- 金融・仮想通貨関連プラットフォームを利用するユーザー
■ 対応手順
1. EDR/AVにて、不審なMSIインストーラーの実行およびLogitech関連プログラムによる異常な子プロセスの生成を監視してください。
2. ユーザーに対し、不審なZIP/MSIファイルの開封禁止を周知してください。
3. ネットワーク境界での不審なC2通信の有無を確認してください。
■ 参考情報
- Elastic Security Labs (REF3076)
対応優先度: 高
対応期限: 速やかに
お疲れさまです。TCLBANKERに関する情報共有です。
■ 概要
ブラジルの金融機関を標的とした新型トロジャンで、WhatsApp WebおよびOutlookを介して拡散するワーム機能を搭載しています。Logitechの署名済みプログラム(Logi AI Prompt Builder)を悪用して検知を回避するDLLサイドローディング等の手法が用いられています。
■ 影響範囲
- WhatsApp WebおよびMicrosoft Outlookを利用している全端末
- 金融・仮想通貨関連プラットフォームを利用するユーザー
■ 対応手順
1. EDR/AVにて、不審なMSIインストーラーの実行およびLogitech関連プログラムによる異常な子プロセスの生成を監視してください。
2. ユーザーに対し、不審なZIP/MSIファイルの開封禁止を周知してください。
3. ネットワーク境界での不審なC2通信の有無を確認してください。
■ 参考情報
- Elastic Security Labs (REF3076)
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Propagation of TCLBANKER Banking Trojan
Dear Security Team,
This is a technical briefing regarding the TCLBANKER banking trojan.
■ Overview
TCLBANKER is a Brazilian-origin trojan targeting 59 financial and crypto platforms. It features a worm component for propagation via WhatsApp Web and Outlook. The attack chain leverages a signed Logitech binary (Logi AI Prompt Builder) to deploy malicious modules, bypassing traditional security analysis.
■ Scope
- All endpoints utilizing WhatsApp Web and Microsoft Outlook.
- Users accessing financial/fintech platforms.
■ Mitigation Steps
1. Configure EDR/AV to monitor for suspicious MSI installers and anomalous child processes spawned by Logitech-signed binaries.
2. Issue a security advisory to users regarding the risks of opening unsolicited ZIP/MSI files.
3. Review network logs for potential C2 traffic associated with the REF3076 cluster.
■ Reference
- Elastic Security Labs (REF3076)
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical briefing regarding the TCLBANKER banking trojan.
■ Overview
TCLBANKER is a Brazilian-origin trojan targeting 59 financial and crypto platforms. It features a worm component for propagation via WhatsApp Web and Outlook. The attack chain leverages a signed Logitech binary (Logi AI Prompt Builder) to deploy malicious modules, bypassing traditional security analysis.
■ Scope
- All endpoints utilizing WhatsApp Web and Microsoft Outlook.
- Users accessing financial/fintech platforms.
■ Mitigation Steps
1. Configure EDR/AV to monitor for suspicious MSI installers and anomalous child processes spawned by Logitech-signed binaries.
2. Issue a security advisory to users regarding the risks of opening unsolicited ZIP/MSI files.
3. Review network logs for potential C2 traffic associated with the REF3076 cluster.
■ Reference
- Elastic Security Labs (REF3076)
Priority: High
Deadline: Immediate