Los cazadores de amenazas han identificado un troyano bancario brasileño previamente indocumentado llamado **TCLBANKER** que es capaz de atacar 59 plataformas bancarias, fintech y de criptomonedas. Esta actividad está siendo rastreada por **Elastic Security Labs** bajo el nombre **REF3076**. La familia de malware se considera una actualización importante del troyano Maverick, conocido por utilizar un gusano llamado SORVEPOTEL para propagarse a través de WhatsApp Web. La campaña Maverick se atribuye a un clúster de amenazas que **Trend Micro** denomina Water Saci.  ### Cadena de Ataque En el núcleo de la cadena de ataque se encuentra un cargador con sólidas capacidades anti-análisis que implementa dos módulos incrustados: un troyano bancario con todas las funciones y un componente de gusano que utiliza **WhatsApp** y **Microsoft Outlook** para su propagación. "La cadena de infección observada agrupa un instalador MSI malicioso dentro de un archivo ZIP", dijeron investigadores de **Elastic**. "Estos paquetes de instalación MSI abusan de un programa firmado de **Logitech** llamado Logi AI Prompt Builder". El malware utiliza la carga lateral de DLL contra la aplicación para lanzar una DLL maliciosa ("screen_retriever_plugin.dll"), que funciona como un cargador con un "subsistema de supervisión integral". Este subsistema monitorea activamente herramientas de análisis, sandboxes, depuradores, desensambladores, herramientas de instrumentación y software antivirus para evadir la detección. La DLL maliciosa solo se ejecuta si es cargada por "logiaipromptbuilder.exe" (el programa de **Logitech**) o "tclloader.exe" (probablemente una referencia a un ejecutable utilizado durante las pruebas). También elimina los hooks de modo de usuario colocados por el software de seguridad de endpoints dentro de "ntdll.dll" y deshabilita la telemetría de Event Tracing for Windows (ETW). ### Técnicas de Evasión El malware genera tres huellas digitales basadas en anti-depuración, anti-virtualización, información del disco del sistema y verificaciones de idioma. Utiliza estas para crear un valor hash del entorno que descifra el payload incrustado. La verificación del idioma del sistema asegura que el idioma predeterminado del usuario sea portugués brasileño. **Elastic** explicó: "Por ejemplo, si hay un depurador presente, producirá un hash incorrecto, por lo que cuando el malware intente derivar las claves de descifrado del hash, el payload no se descifrará correctamente y **TCLBANKER** dejará de ejecutarse". ### Funcionalidad del Troyano El componente principal lanzado después de estas verificaciones es el troyano bancario. Verifica que se esté ejecutando en un sistema brasileño y establece persistencia utilizando una tarea programada. Posteriormente, envía una solicitud HTTP POST a un servidor externo que contiene información básica del sistema. **TCLBANKER** incorpora un mecanismo de auto-actualización y un monitor de URL que extrae la URL actual de la barra de direcciones del navegador en primer plano utilizando UI Automation. Se dirige a navegadores populares como **Google Chrome**, **Mozilla Firefox**, **Microsoft Edge**, **Brave**, **Opera** y **Vivaldi**. La URL extraída se compara con una lista de instituciones financieras objetivo. Si hay una coincidencia, establece una conexión WebSocket a un servidor remoto y entra en un bucle de despacho de comandos, lo que permite al operador realizar diversas tareas: * Ejecutar comandos de shell * Capturar capturas de pantalla * Iniciar/detener transmisión de pantalla * Manipular el portapapeles * Iniciar un keylogger * Controlar remotamente el mouse/teclado * Gestionar archivos y procesos * Enumerar procesos en ejecución * Listar ventanas visibles * Servir falsas superposiciones para robo de credenciales Para el robo de datos, **TCLBANKER** utiliza un framework de superposición a pantalla completa basado en Windows Presentation Foundation (WPF) para realizar ingeniería social utilizando prompts de recolección de credenciales, pantallas de espera de vishing, barras de progreso falsas y actualizaciones falsas de Windows, todo mientras oculta las superposiciones de las herramientas de captura de pantalla. ### Propagación del Gusano En paralelo, el cargador invoca el módulo de gusano para propagar el troyano a través de mensajes de spam y phishing a gran escala. Emplea un enfoque de dos frentes que involucra un gusano de **WhatsApp** Web y un bot de correo electrónico de **Outlook**. Al igual que **SORVEPOTEL**, el gusano de **WhatsApp** recupera una plantilla de mensaje del servidor y utiliza el proyecto de código abierto WPPConnect para automatizar el envío de mensajes, filtrando grupos, transmisiones y números no brasileños. El agente de **Outlook** es un spambot de correo electrónico que abusa de la aplicación **Microsoft Outlook** instalada de la víctima para enviar correos electrónicos de phishing desde la dirección de correo electrónico de la víctima, eludiendo los filtros de spam y dando a los mensajes una ilusión de confianza. ### Conclusión "**TCLBANKER** refleja una maduración más amplia que está ocurriendo en el ecosistema de troyanos bancarios brasileños", concluyó **Elastic**. "Técnicas que alguna vez fueron el sello distintivo de actores de amenazas más sofisticados: descifrado de payload con puerta de entorno, generación directa de llamadas al sistema, orquestación de ingeniería social en tiempo real sobre WebSocket, ahora se están empaquetando en crimeware de commodity". "La campaña hereda la confianza y la entregabilidad de las comunicaciones legítimas al secuestrar las sesiones de **WhatsApp** y las cuentas de **Outlook** de las víctimas. Este es un modelo de distribución que las pasarelas de correo electrónico tradicionales y las defensas basadas en reputación están mal equipadas para detectar."