TCLBANKER: Troyano Bancario se Propaga a Través de WhatsApp

El CTI de ICS Labs identificó una nueva campaña activa de malware bancario brasileño denominada TCLBANKER, seguida como REF3076. La amenaza representa una evolución significativa del ecosistema de troyanos bancarios en LATAM, incorporando:

• técnicas avanzadas de evasión;

• ejecución condicionada al entorno;

• módulos tipo worm para propagación automática;

• overlays WPF para ingeniería social en tiempo real;

• abuso de sesiones autenticadas de WhatsApp Web y Microsoft Outlook.

El malware se distribuye a través de un instalador MSI troyanizado de Logitech Logi AI Prompt Builder, utilizando DLL sideloading para su ejecución maliciosa.

La campaña tiene un enfoque explícito en usuarios brasileños y monitoriza accesos a instituciones financieras, fintechs y exchanges de criptomonedas.

Capacidades Observadas

TCLBANKER posee funcionalidades de alto impacto operativo:

• robo de credenciales bancarias;

• captura de PINs y códigos de autenticación;

• ingeniería social mediante overlays a pantalla completa;

• bloqueo de la interacción del usuario;

• ocultación frente a captura de pantalla;

• propagación automática vía WhatsApp Web y Microsoft Outlook;

• comunicación persistente mediante C2 por WebSocket;

• actualización automática de payloads;

• técnicas avanzadas anti-análisis y anti-debugging.

Vector de Infección

La cadena de infección observada consiste en:

1. archivo ZIP que contiene un MSI malicioso;

2. instalación de una versión troyanizada de Logi AI Prompt Builder;

3. DLL sideloading de la biblioteca screen_retriever_plugin.dll;

4. ejecución del loader;

5. descifrado condicional del payload;

6. inicialización de los módulos Banker y Worm.

Técnicas de Evasión

OEl malware implementa múltiples técnicas anti-análisis:

• parcheo de ETW;

• eliminación de hooks en ntdll.dll;

• syscalls directas;

• detección de VMware, VirtualBox, QEMU, depuradores y herramientas como x64dbg, IDA, dnSpy, Frida y Process Hacker;

• verificación de idioma pt-BR, GeoID brasileño, memoria RAM, tamaño de disco y cantidad de CPUs.

El payload solo se descifra correctamente en entornos considerados “válidos”, dificultando el sandboxing y el análisis automatizado.

Funcionalidades Bancarias

El módulo bancario monitoriza continuamente URLs accedidas en navegadores como:

• Chrome;

• Edge;

• Brave;

• Opera;

• Firefox;

• Vivaldi.

Al detectar acceso a uno de los 59 dominios financieros brasileños objetivo, el malware:

1. establece una conexión WebSocket con el C2;

2. inicia una sesión fraudulenta;

3. activa overlays maliciosos.

Ovelays e Ingeniería Social

Uno de los componentes más sofisticados de TCLBANKER es su framework de ingeniería social basado en WPF, utilizado para manipular visualmente a la víctima durante accesos bancarios. El malware crea ventanas fullscreen sin bordes, siempre en primer plano y ocultas de la barra de tareas, simulando perfectamente interfaces legítimas del sistema operativo o de instituciones financieras.

Para aumentar el realismo, captura screenshots del escritorio de la víctima y los utiliza como fondo del overlay, creando la impresión de que el sistema continúa funcionando con normalidad.

Además, el malware implementa mecanismos para impedir que el usuario cierre las ventanas maliciosas, bloqueando atajos como Alt+F4, tecla Windows, Ctrl+Esc, PrintScreen y combinaciones de navegación. También utiliza la API SetWindowDisplayAffinity para ocultar los overlays de herramientas de captura de pantalla, lo que permite al operador observar remotamente la actividad de la víctima sin que la interfaz fraudulenta aparezca en grabaciones o capturas.

Los overlays pueden adoptar diferentes formatos según la operación realizada por el atacante. Entre los modos identificados se incluyen falsas pantallas de actualización de Windows, solicitudes de credenciales bancarias, simulaciones de procesamiento de seguridad y pantallas de espera para llamadas telefónicas fraudulentas.

En algunos escenarios, el malware crea “recortes” transparentes dentro del overlay para permitir que la víctima interactúe con aplicaciones reales mientras permanece rodeada por una interfaz engañosa controlada por el operador. El objetivo es aumentar la confianza de la víctima y facilitar la recolección de credenciales, PINs, códigos de autenticación y otra información sensible durante sesiones bancarias activas.

Propagación Worm

Además del módulo bancario principal, TCLBANKER incorpora funcionalidades tipo worm orientadas a la propagación automatizada a través de canales legítimos de comunicación de la propia víctima. Se identificaron dos módulos distintos: uno dirigido a WhatsApp Web y otro a Microsoft Outlook.

El módulo de WhatsApp Web busca perfiles autenticados en navegadores Chromium como Chrome, Edge, Brave, Opera y Vivaldi. Tras localizar sesiones válidas, el malware clona partes esenciales del perfil del navegador, incluyendo IndexedDB, Local Storage, cookies y datos de sesión, lo que permite restaurar la autenticación de WhatsApp Web sin necesidad de código QR.

Posteriormente, utiliza Selenium WebDriver y scripts JavaScript para automatizar el navegador, sortear mecanismos de detección de bots y acceder a la lista de contactos de la víctima. Una vez tomada la sesión, el malware envía mensajes masivos a contactos brasileños utilizando la propia cuenta de la víctima, aumentando significativamente la credibilidad de la campaña.

El payload malicioso se recupera directamente desde la infraestructura de los atacantes y se distribuye sin necesidad de escribir archivos de forma permanente en el disco, dificultando la detección por soluciones de seguridad tradicionales.

El módulo de Outlook utiliza automatización COM para interactuar directamente con Microsoft Outlook instalado en el equipo comprometido. El malware recopila contactos de la libreta de direcciones y remitentes recientes de correos recibidos, generando listas de posibles objetivos con mayor probabilidad de interacción. Los mensajes de phishing se envían utilizando la propia cuenta legítima de la víctima, reduciendo la probabilidad de bloqueo por filtros antispam y aumentando la tasa de entrega.

Estos mecanismos demuestran un cambio relevante en el ecosistema de troyanos bancarios de LATAM, que comienzan a incorporar capacidades de autopropagación usando canales confiables y sesiones autenticadas reales, haciendo que las futuras campañas sean potencialmente más escalables y difíciles de contener.

Recomendaciones

Se recomienda máxima prioridad en la contención e investigación de posibles infecciones relacionadas con TCLBANKER, especialmente en entornos corporativos con uso intensivo de navegadores Chromium, Microsoft Outlook y WhatsApp Web.

Dado que el malware utiliza DLL sideloading mediante aplicaciones legítimas de Logitech, es importante monitorizar ejecuciones inusuales del proceso LogiAiPromptBuilder.exe, especialmente cuando van acompañadas de la carga de la DLL screen_retriever_plugin.dll en directorios temporales o fuera de la ruta estándar de la aplicación.

También se recomienda realizar hunting en endpoints en busca de indicadores como la creación de tareas programadas sospechosas, conexiones WebSocket persistentes hacia dominios asociados a la campaña, ejecución de ChromeDriver o Selenium en directorios %TEMP%, además de eventos relacionados con UI Automation y la creación de ventanas WPF fullscreen, características utilizadas por el malware para overlays bancarios y ingeniería social.

Dado que TCLBANKER secuestra sesiones autenticadas de WhatsApp Web y Outlook, los usuarios potencialmente afectados deben revocar inmediatamente las sesiones activas de navegadores y aplicaciones de correo, restablecer credenciales corporativas y revisar actividades recientes de envío de mensajes y correos electrónicos. En entornos empresariales, se recomienda revisar logs de autenticación y el comportamiento de cuentas que puedan haber sido utilizadas para propagación lateral vía phishing.

A nivel preventivo, es importante reforzar los controles contra la ejecución de MSI no confiables, restringir técnicas de DLL sideloading y ampliar la monitorización de modificaciones en ntdll.dll, manipulación de ETW y creación de syscalls directas, comportamientos frecuentemente asociados con malware avanzado. La aplicación de reglas ASR, EDR con protección conductual y MFA resistente al phishing puede reducir significativamente el impacto de este tipo de amenaza.

Por último, considerando que la infraestructura identificada aún parece estar en fase de expansión operativa, se recomienda el monitoreo continuo de nuevos dominios relacionados con la campaña, especialmente páginas alojadas en servicios como Cloudflare Workers y Cloudflare Pages, así como la actualización constante de bloqueos de IOC en firewall, proxy y DNS.

Fuentes:

• TCLBANKER: Brazilian Banking Trojan Spreading via WhatsApp and Outlook | Elastic Security Labs

• New TCLBanker malware self-spreads over WhatsApp and Outlook | Bleeping Computer

• New TCLBANKER malware self-spreads through WhatsApp and Outlook | Cyber Insider