TCLBANKER: Trojan Bancário se Espalha Através do Whatsapp

O CTI do ICS Labs identificou uma nova campanha ativa de malware bancário brasileiro denominada TCLBANKER, rastreada como REF3076. A ameaça representa uma evolução significativa do ecossistema de trojans bancários LATAM, incorporando:

• técnicas avançadas de evasão;

• execução condicionada ao ambiente;

• módulos worm para propagação automática;

• overlays WPF para engenharia social em tempo real;

• abuso de sessões autenticadas do WhatsApp Web e Microsoft Outlook.

O malware é distribuído através de um instalador MSI trojanizado do Logitech Logi AI Prompt Builder, utilizando DLL sideloading para execução maliciosa.

A campanha possui foco explícito em usuários brasileiros e monitora acessos a instituições financeiras, fintechs e exchanges de criptomoedas.

Capacidades Observadas

O TCLBANKER possui funcionalidades de alto impacto operacional:

• Roubo de credenciais bancárias;

• Captura de PINs e códigos de autenticação;

• Engenharia social via overlays fullscreen;

• Bloqueio de interação do usuário;

• Ocultação contra screen capture;

• Propagação automática via WhatsApp Web e  Microsoft Outlook;

• Comunicação persistente via WebSocket C2;

• Atualização automática de payloads;

• Técnicas avançadas anti-análise e anti-debug.

Vetor de Infecção

A cadeia de infecção observada consiste em:

1. Arquivo ZIP contendo MSI malicioso;

2. Instalação de versão trojanizada do Logi AI Prompt Builder;

3. DLL sideloading da biblioteca screen_retriever_plugin.dll

4. Execução do loader;

5. Decriptação condicional do payload;

6. Inicialização dos módulos Banker e Worm.

Técnicas de Evasão

O malware implementa múltiplas técnicas anti-análise:

• ETW patching;

• Remoção de hooks em ntdll.dll;

• Syscalls diretas;

• Detecção de VMware, VirtualBox, QEMU, debuggers, além de ferramentas como x64dbg, IDA, dnSpy, Frida, Process Hacker.

• Verificação de idioma pt-BR, GeoID brasileiro, RAM, tamanho do disco, quantidade de CPUs.

O payload só é descriptografado corretamente em ambientes considerados “válidos”, dificultando sandboxing e análise automatizada.

Funcionalidades Bancárias

O módulo bancário monitora continuamente URLs acessadas em navegadores como:

• Chrome;

• Edge;

• Brave;

• Opera;

• Firefox;

• Vivaldi.

Ao detectar acesso a um dos 59 domínios-alvo financeiros brasileiros, o malware:

1. estabelece conexão WebSocket com o C2;

2. inicia sessão fraudulenta;

3. ativa overlays maliciosos.

Ovelays e Engenharia Social

Um dos componentes mais sofisticados do TCLBANKER é seu framework de engenharia social baseado em WPF, utilizado para manipular visualmente a vítima durante acessos bancários. O malware cria janelas fullscreen sem bordas, sempre em primeiro plano e ocultas da barra de tarefas, simulando perfeitamente interfaces legítimas do sistema operacional ou de instituições financeiras. Para aumentar o realismo, ele captura screenshots do desktop da vítima e os utiliza como plano de fundo do overlay, criando a impressão de que o sistema continua funcionando normalmente.

Além disso, o malware implementa mecanismos para impedir que o usuário feche as janelas maliciosas, bloqueando atalhos como Alt+F4, tecla Windows, Ctrl+Esc, PrintScreen e combinações de navegação. Também utiliza a API SetWindowDisplayAffinity para ocultar os overlays de ferramentas de captura de tela, permitindo que o operador visualize a atividade da vítima remotamente sem que a interface fraudulenta apareça em gravações ou screenshots.

Os overlays podem assumir diferentes formatos conforme a operação conduzida pelo atacante. Entre os modos identificados estão telas falsas de atualização do Windows, prompts de credenciais bancárias, simulações de processamento de segurança e telas de espera para chamadas telefônicas fraudulentas. Em alguns cenários, o malware cria “recortes” transparentes dentro do overlay para permitir que a vítima interaja com aplicações reais enquanto permanece cercada por uma interface enganosa controlada pelo operador. O objetivo é aumentar a confiança da vítima e facilitar a coleta de credenciais, PINs, códigos de autenticação e outras informações sensíveis durante sessões bancárias ativas.

Propagação Worm

Além do módulo bancário principal, o TCLBANKER incorpora funcionalidades worm voltadas para propagação automatizada através de canais legítimos de comunicação da própria vítima. Foram identificados dois módulos distintos: um voltado ao WhatsApp Web e outro ao Microsoft Outlook.

O módulo do WhatsApp Web procura perfis autenticados de navegadores Chromium como Chrome, Edge, Brave, Opera e Vivaldi. Após localizar sessões válidas, o malware clona partes essenciais do perfil do navegador, incluindo IndexedDB, Local Storage, cookies e dados de sessão, permitindo restaurar a autenticação do WhatsApp Web sem necessidade de QR Code. Em seguida, utiliza Selenium WebDriver e scripts JavaScript para automatizar o navegador, contornar mecanismos de detecção de bots e acessar a lista de contatos da vítima.

Depois da tomada da sessão, o malware envia mensagens em massa para contatos brasileiros utilizando a própria conta da vítima, aumentando significativamente a credibilidade da campanha. O payload malicioso é recuperado diretamente da infraestrutura dos atacantes e distribuído sem necessidade de gravar arquivos permanentemente no disco, dificultando a detecção por soluções tradicionais de segurança.

Já o módulo do Outlook utiliza COM automation para interagir diretamente com o Microsoft Outlook instalado na máquina comprometida. O malware coleta contatos da agenda e remetentes recentes de e-mails recebidos, gerando listas de possíveis alvos com maior probabilidade de interação. As mensagens de phishing são então enviadas usando a própria conta legítima da vítima, o que reduz a chance de bloqueio por filtros antispam e aumenta a taxa de entrega.

Esses mecanismos demonstram uma mudança importante no ecossistema de trojans bancários LATAM, que passam a incorporar capacidades de autopropagação utilizando canais confiáveis e sessões autenticadas reais, tornando campanhas futuras potencialmente mais escaláveis e difíceis de conter.

Recomendações

Recomenda-se prioridade máxima na contenção e investigação de possíveis infecções relacionadas ao TCLBANKER, principalmente em ambientes corporativos com grande uso de navegadores Chromium, Microsoft Outlook e WhatsApp Web. Como o malware utiliza DLL sideloading através de aplicações legítimas da Logitech, é importante monitorar execuções incomuns do processo LogiAiPromptBuilder.exe, especialmente quando acompanhadas do carregamento da DLL screen_retriever_plugin.dll em diretórios temporários ou fora do caminho padrão da aplicação.

Também é recomendado realizar hunting em endpoints em busca de indicadores como criação de tarefas agendadas suspeitas, conexões WebSocket persistentes para domínios associados à campanha, execução de ChromeDriver ou Selenium em diretórios %TEMP%, além de eventos relacionados a UI Automation e criação de janelas WPF fullscreen, características utilizadas pelo malware para implementar overlays bancários e engenharia social.

Como o TCLBANKER sequestra sessões autenticadas do WhatsApp Web e Outlook, usuários potencialmente afetados devem revogar imediatamente sessões ativas de navegadores e aplicações de e-mail, redefinir credenciais corporativas e revisar atividades recentes de envio de mensagens e e-mails. Em ambientes empresariais, recomenda-se revisar logs de autenticação e comportamento de contas que possam ter sido utilizadas para propagação lateral via phishing.

No nível preventivo, é importante fortalecer controles contra execução de MSI não confiáveis, restringir técnicas de DLL sideloading e ampliar monitoramento para alterações em ntdll.dll, ETW tampering e criação de syscalls diretas, comportamentos frequentemente associados a malware avançado. A aplicação de regras ASR, EDR com proteção comportamental e MFA resistente a phishing pode reduzir significativamente o impacto desse tipo de ameaça.

Por fim, considerando que a infraestrutura identificada ainda aparenta estar em fase de expansão operacional, recomenda-se monitoramento contínuo de novos domínios relacionados à campanha, principalmente páginas hospedadas em serviços como Cloudflare Workers e Cloudflare Pages, além da atualização constante de bloqueios de IOC em firewall, proxy e DNS.

Fontes:

• TCLBANKER: Brazilian Banking Trojan Spreading via WhatsApp and Outlook | Elastic Security Labs

• New TCLBanker malware self-spreads over WhatsApp and Outlook | Bleeping Computer

• New TCLBANKER malware self-spreads through WhatsApp and Outlook | Cyber Insider