Um novo trojan chamado TCLBanker, que mira 59 plataformas bancárias, fintech e de criptomoedas, usa um instalador MSI trojanizado do Logitech AI Prompt Builder para infectar sistemas.
Além disso, o malware inclui módulos de worm autorreplicante para WhatsApp e Outlook, capazes de infectar automaticamente novas vítimas.
O novo trojan bancário foi descoberto pela Elastic Security Labs, cujos pesquisadores acreditam se tratar de uma evolução importante da antiga família de malware Maverick/Sorvepotel.
Embora o TCLBanker pareça, por enquanto, concentrado no Brasil, com verificações de fuso horário, layout de teclado e localidade, malware da América Latina já foi adaptado no passado para ampliar seu alcance.
Por isso, o risco de expansão da ameaça é real.
A Elastic alerta que o TCLBanker é extremamente bem protegido contra análise e depuração, com rotinas de descriptografia de payload dependentes do ambiente, que falham em sandboxes ou em ambientes de analistas.
O malware também executa uma thread de vigilância persistente, que procura continuamente por ferramentas de análise como x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot e outras.
Ele é carregado no contexto do aplicativo legítimo da Logitech por meio de DLL side-loading, o que faz com que não acione alertas dos produtos de segurança que protegem o host infectado.
Os pesquisadores observaram que, embora o loader seja rico em recursos, nenhum deles chega a ser realmente avançado, e artefatos de código indicam que IA pode ter sido usada no desenvolvimento.
O módulo bancário monitora a barra de endereços do navegador a cada segundo, usando APIs do Windows UI Automation, para identificar quando a vítima acessa um site de uma das 59 plataformas visadas.
Quando isso acontece, ele estabelece uma sessão WebSocket com o command and control (C2), envia informações da vítima e do sistema e inicia operações de controle remoto.
Entre as capacidades dadas aos operadores estão:
Transmissão ao vivo da tela
Captura de screenshots
Captura de teclas digitadas
Sequestro da área de transferência
Execução de comandos no shell
Gerenciamento de janelas
Acesso ao sistema de arquivos
Enumeração de processos
Controle remoto de mouse e teclado
Durante sessões ativas, o processo do Gerenciador de Tarefas é encerrado para evitar interrupções e ocultar a atividade maliciosa da vítima.
Para facilitar o roubo de dados, o TCLBanker usa um sistema de sobreposição baseado em WPF, capaz de exibir às vítimas falsas solicitações de credenciais, teclados de PIN, formulários para coleta de número de telefone, telas falsas de “suporte bancário” em espera, telas falsas do Windows Update e várias telas simuladas de progresso.
Há também sobreposições do tipo “cutout”, que permanecem sempre em primeiro plano e permitem que apenas partes selecionadas de aplicativos reais sejam exibidas à vítima, enquanto o restante fica mascarado.
Um aspecto interessante do TCLBanker é sua capacidade de se propagar de forma autônoma para contatos vinculados à vítima principal.
O malware procura perfis do navegador Chromium por dados autenticados do WhatsApp Web armazenados em IndexedDB e inicia uma instância oculta do Chromium para sequestrar a conta da vítima.
Em seguida, ele coleta contatos, filtra números brasileiros e envia mensagens de spam a partir da conta da vítima, direcionando os alvos para plataformas de distribuição do TCLBanker.
Outro módulo de worm abusa do Microsoft Outlook por meio de automação COM, abre o aplicativo, coleta contatos e endereços do remetente e envia e-mails de phishing pela conta de e-mail da vítima.
A Elastic conclui que o TCLBanker é um exemplo característico da evolução do malware na América Latina, ao oferecer a criminosos cibernéticos de menor nível recursos que antes só estavam disponíveis em ferramentas altamente sofisticadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...