Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel TCLBANKER Trojan Bancário

TCLBANKER Trojan Bancário

Por Mezo em Malware móvel, Trojan Bancário
Traduzir Para:

Pesquisadores de cibersegurança descobriram um trojan bancário brasileiro até então desconhecido, chamado TCLBANKER, uma variante de malware altamente sofisticada projetada para atacar 59 plataformas bancárias, fintechs e de criptomoedas. A campanha está sendo rastreada sob o nome REF3076 e acredita-se que represente uma evolução significativa da notória família de malware Maverick, anteriormente associada ao cluster de ameaças Water Saci.

O TCLBANKER expande os métodos de ataque anteriores ao integrar mecanismos avançados de anti-análise, entrega de carga útil com foco em furtividade e capacidades de propagação em larga escala por meio de plataformas de comunicação comprometidas.

Uma cadeia de infecção furtiva criada para evasão

O ataque começa com um arquivo ZIP malicioso contendo um instalador MSI que explora uma aplicação legítima da Logitech chamada Logi AI Prompt Builder, devidamente assinada. Através do carregamento lateral de DLLs, o malware força a aplicação confiável a carregar uma biblioteca maliciosa chamada 'screen_retriever_plugin.dll', que atua como o carregador principal.

Este carregador incorpora um extenso subsistema de monitoramento projetado especificamente para evitar detecção. Ele verifica continuamente a presença de ambientes de segurança e análise, incluindo depuradores, antivírus, desassembladores, sandboxes e ferramentas de instrumentação. A execução só ocorre quando a DLL é iniciada por processos autorizados, como 'logiaipromptbuilder.exe' ou 'tclloader.exe', este último provavelmente relacionado a testes internos.

Para evitar ainda mais o monitoramento de segurança, o malware remove os ganchos de modo de usuário inseridos no arquivo 'ntdll.dll' por soluções de proteção de endpoints e desativa a telemetria do Event Tracing for Windows (ETW). Ele também cria múltiplas impressões digitais do sistema com base em verificações anti-depuração, detecção de virtualização, informações do disco e configurações de idioma do sistema operacional. Essas impressões digitais geram um hash de ambiente usado para descriptografar o payload embutido.

O malware verifica especificamente se o sistema alvo utiliza o português brasileiro. Qualquer indicação de depuração ou análise resulta em um valor de hash incorreto, impedindo a descriptografia bem-sucedida do payload e interrompendo completamente a execução.

Funcionalidades de Trojan bancário projetadas para controle total do sistema

Após a conclusão das verificações anti-análise, o trojan bancário principal é implantado. Depois de confirmar que o sistema pertence a um usuário brasileiro, o malware estabelece persistência por meio de tarefas agendadas e contata um servidor de comando e controle externo usando solicitações HTTP POST contendo informações do sistema.

O TCLBANKER inclui funcionalidade de atualização automática e monitora ativamente a atividade do navegador, extraindo URLs da barra de endereços do navegador em primeiro plano por meio de técnicas de automação da interface do usuário. O malware tem como alvo navegadores amplamente utilizados, incluindo:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Corajoso
  • Ópera
  • Vivaldi

Quando um site bancário ou de criptomoedas monitorado é detectado, o TCLBANKER abre uma conexão WebSocket com um servidor remoto e entra em um loop de execução de comandos. Isso permite que invasores realizem remotamente uma ampla gama de atividades maliciosas, incluindo reconhecimento do sistema, manipulação da área de transferência, registro de teclas digitadas (keylogging), captura de tela, transmissão de vídeo da tela, controle remoto do mouse e teclado, gerenciamento de processos e implantação de sobreposições falsas para coleta de credenciais.

Engenharia Social Avançada e Roubo de Credenciais

O TCLBANKER depende fortemente de engenharia social para roubar informações confidenciais. O malware utiliza uma estrutura de sobreposição em tela cheia baseada no Windows Presentation Foundation (WPF) capaz de exibir interfaces de phishing altamente convincentes. Essas sobreposições imitam avisos bancários legítimos, atualizações falsas do Windows, barras de progresso e telas de espera de phishing por voz, projetadas para manipular as vítimas e levá-las a revelar suas credenciais.

Vale ressaltar que as sobreposições ficam ocultas para ferramentas de captura de tela, o que torna a detecção e a análise forense significativamente mais difíceis.

WhatsApp e Outlook se transformaram em ferramentas de distribuição de malware.

Juntamente com o trojan bancário, o carregador implanta um componente de worm responsável por disseminar a infecção em larga escala através do WhatsApp Web e do Microsoft Outlook. O módulo do WhatsApp sequestra sessões de navegador autenticadas e utiliza o projeto de código aberto WPPConnect para automatizar o envio de mensagens aos contatos das vítimas. Para melhorar a eficiência do direcionamento, o malware filtra chats em grupo, listas de transmissão e números de telefone não brasileiros.

O componente do Outlook funciona como um spambot de phishing, explorando o aplicativo Microsoft Outlook instalado na vítima para distribuir e-mails maliciosos diretamente do endereço da vítima. Como essas mensagens se originam de contas legítimas e infraestrutura confiável, os filtros de spam tradicionais e os sistemas de segurança baseados em reputação têm dificuldade em detectar a atividade maliciosa.

O malware pode, segundo relatos, enviar spam para até 3.000 contatos usando sessões comprometidas do WhatsApp e contas do Outlook, aumentando drasticamente o alcance da campanha e explorando as relações de confiança existentes entre as vítimas e seus contatos.

Sinais de um cenário de ameaças em expansão

Os pesquisadores acreditam que o REF3076 ainda está em seus estágios iniciais de operação. Evidências como caminhos de registro de depuração, infraestrutura de phishing incompleta e nomes de processos de teste sugerem que os operadores continuam a refinar e expandir a campanha.

A TCLBANKER também destaca a rápida evolução que ocorre no ecossistema de malware bancário brasileiro. Técnicas antes associadas apenas a agentes de ameaças altamente sofisticados agora estão aparecendo em operações de cibercrime comuns. Essas capacidades incluem:

  • Decriptação de carga útil baseada no ambiente
  • Geração direta de chamadas de sistema
  • Engenharia social em tempo real baseada em WebSocket
  • Propagação de mensagens confiáveis por meio de plataformas de comunicação sequestradas

Ao explorar sessões legítimas do WhatsApp e do Outlook, o TCLBANKER burla com eficácia muitas defesas de segurança convencionais. A campanha demonstra como os trojans bancários modernos estão cada vez mais combinando técnicas avançadas de furtividade, automação e engenharia social para criar operações cibercriminosas altamente resilientes e escaláveis.

Tendendo

Mais visto

Carregando...