Bedrohungsjäger haben einen bisher unbekannten brasilianischen Banking-Trojaner namens **TCLBANKER** identifiziert, der 59 Bank-, Fintech- und Kryptowährungsplattformen ins Visier nehmen kann. Diese Aktivität wird von **Elastic Security Labs** unter dem Codenamen **REF3076** verfolgt. Die Malware-Familie gilt als bedeutendes Update des Maverick-Trojaners, der dafür bekannt ist, einen Wurm namens SORVEPOTEL zur Verbreitung über WhatsApp Web zu nutzen. Die Maverick-Kampagne wird einem Bedrohungscluster zugeordnet, den **Trend Micro** Water Saci nennt.  ### Angriffs Kette Im Kern der Angriffs Kette befindet sich ein Loader mit robusten Anti-Analyse-Fähigkeiten, der zwei eingebettete Module bereitstellt: einen voll ausgestatteten Banking-Trojaner und eine Wurmkomponente, die **WhatsApp** und **Microsoft Outlook** zur Verbreitung nutzt. "Die beobachtete Infektionskette bündelt einen bösartigen MSI-Installer in einer ZIP-Datei", sagten Forscher von **Elastic**. "Diese MSI-Installer-Pakete missbrauchen ein signiertes **Logitech**-Programm namens Logi AI Prompt Builder." Die Malware nutzt DLL Side-Loading gegen die Anwendung, um eine bösartige DLL ("screen_retriever_plugin.dll") zu starten, die als Loader mit einem "umfassenden Watchdog-Subsystem" fungiert. Dieses Subsystem überwacht aktiv Analysewerkzeuge, Sandboxes, Debugger, Disassembler, Instrumentierungswerkzeuge und Antivirensoftware, um eine Erkennung zu vermeiden. Die bösartige DLL wird nur ausgeführt, wenn sie von "logiaipromptbuilder.exe" (dem **Logitech**-Programm) oder "tclloader.exe" (wahrscheinlich ein Verweis auf eine während des Tests verwendete ausführbare Datei) geladen wird. Sie entfernt auch Usermode-Hooks, die von der Endpunktsicherheitssoftware in "ntdll.dll" platziert wurden, und deaktiviert die Event Tracing for Windows (ETW) Telemetrie. ### Umgehungstechniken Die Malware generiert drei Fingerabdrücke basierend auf Anti-Debugging, Anti-Virtualisierung, Systemfestplatteninformationen und Sprachprüfungen. Sie verwendet diese, um einen Umgebungs-Hash-Wert zu erstellen, der die eingebettete payload entschlüsselt. Die Systemprüfung der Sprache stellt sicher, dass die Standardsprache des Benutzers brasilianisches Portugiesisch ist. **Elastic** erklärte: "Wenn beispielsweise ein Debugger vorhanden ist, erzeugt er einen falschen Hash. Wenn die Malware dann versucht, die Entschlüsselungsschlüssel aus dem Hash abzuleiten, wird die payload nicht korrekt entschlüsselt und **TCLBANKER** stoppt die Ausführung." ### Trojaner Funktionalität Die Hauptkomponente, die nach diesen Prüfungen gestartet wird, ist der Banking-Trojaner. Er prüft, ob er auf einem brasilianischen System läuft und stellt Persistenz über eine geplante Aufgabe her. Anschließend sendet er eine HTTP POST-Anfrage an einen externen Server, die grundlegende Systeminformationen enthält. **TCLBANKER** verfügt über einen Selbstaktualisierungsmechanismus und einen URL-Monitor, der die aktuelle URL aus der Adressleiste des Vordergrundbrowsers mithilfe von UI Automation extrahiert. Er zielt auf beliebte Browser wie **Google Chrome**, **Mozilla Firefox**, **Microsoft Edge**, **Brave**, **Opera** und **Vivaldi** ab. Die extrahierte URL wird mit einer Liste der anvisierten Finanzinstitute abgeglichen. Wenn eine Übereinstimmung gefunden wird, wird eine WebSocket-Verbindung zu einem Remote-Server hergestellt und eine Befehlsverteilungsschleife gestartet, die es dem Betreiber ermöglicht, verschiedene Aufgaben auszuführen: * Shell-Befehle ausführen * Screenshots aufnehmen * Bildschirmstreaming starten/stoppen * Zwischenablage manipulieren * Keylogger starten * Maus/Tastatur fernsteuern * Dateien und Prozesse verwalten * Laufende Prozesse aufzählen * Sichtbare Fenster auflisten * Gefälschte Anmeldedaten-diebstahl-Overlays bereitstellen Für den Datendiebstahl verwendet **TCLBANKER** ein auf Windows Presentation Foundation (WPF) basierendes Vollbild-Overlay-Framework, um Social Engineering mit Anmeldedaten-Erfassungsaufforderungen, Vishing-Wartebildschirmen, gefälschten Fortschrittsbalken und gefälschten Windows-Updates durchzuführen, während Overlays vor Bildschirmaufnahme-Tools verborgen werden. ### Wurm Verbreitung Parallel dazu ruft der Loader das Wurm-Modul auf, um den Trojaner über Spam- und Phishing-Nachrichten in großem Umfang zu verbreiten. Er verwendet einen zweigleisigen Ansatz, der einen **WhatsApp** Web-Wurm und einen **Outlook**-E-Mail-Bot umfasst. Ähnlich wie SORVEPOTEL ruft der **WhatsApp**-Wurm eine Nachrichten-Vorlage vom Server ab und nutzt das Open-Source-Projekt WPPConnect, um den Versand von Nachrichten zu automatisieren und Gruppen, Broadcasts und nicht-brasilianische Nummern herauszufiltern. Der **Outlook**-Agent ist ein E-Mail-Spambot, der die installierte **Microsoft Outlook**-Anwendung des Opfers missbraucht, um Phishing-E-Mails von der E-Mail-Adresse des Opfers zu versenden, Spam-Filter zu umgehen und den Nachrichten den Anschein von Vertrauen zu verleihen. ### Fazit "**TCLBANKER** spiegelt eine breitere Reifung im brasilianischen Banking-Trojaner-Ökosystem wider", schloss **Elastic**. "Techniken, die einst das Markenzeichen ausgefeilterer Bedrohungsakteure waren: umgebungsgesteuerte Payload-Entschlüsselung, direkte Syscall-Generierung, Echtzeit-Orchestrierung von Social Engineering über WebSocket, werden nun in handelsübliche Kriminellen-Software verpackt." "Die Kampagne erbt das Vertrauen und die Zustellbarkeit legitimer Kommunikation, indem sie die **WhatsApp**-Sitzungen und **Outlook**-Konten der Opfer kapert. Dies ist ein Vertriebsmodell, das traditionelle E-Mail-Gateways und reputationsbasierte Abwehrmaßnahmen nur schlecht erfassen können."