**TCLBanker** es un troyano sofisticado que apunta a una amplia gama de plataformas financieras. Descubierto por **Elastic Security Labs**, los investigadores creen que representa una evolución significativa de la antigua familia de malware Maverick/Sorvepotel. Aunque actualmente se enfoca en Brasil, con verificaciones de zona horaria, diseño de teclado y configuración regional, el potencial de expansión a otras regiones sigue siendo una preocupación, como se ha visto con otros malwares de LATAM en el pasado. ## Capacidades de TCLBanker **Elastic** advierte que **TCLBanker** está fuertemente protegido contra el análisis y la depuración. Emplea rutinas de descifrado de payload dependientes del entorno diseñadas para fallar en sandboxes o entornos de analistas. Un hilo de vigilancia persistente busca y termina activamente herramientas de análisis como x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra y de4dot.  *Monitoreo de procesos objetivo. Fuente: Elastic* El malware se carga dentro del contexto de la aplicación legítima **Logitech** utilizando carga lateral de DLL, lo que ayuda a evadir la detección por parte de productos de seguridad. Los investigadores sugieren que la IA pudo haber sido utilizada en el desarrollo del malware, basándose en artefactos de código. El módulo bancario monitorea la barra de direcciones del navegador cada segundo utilizando las API de Automatización de UI de **Windows**, vigilando el acceso a cualquiera de las 59 plataformas objetivo. Tras la detección, establece una sesión WebSocket con el servidor de comando y control (C2), enviando información de la víctima y del sistema, e iniciando operaciones de control remoto. Estas operaciones incluyen: * Transmisión de pantalla en vivo * Captura de capturas de pantalla * Keylogging * Secuestro del portapapeles * Ejecución de comandos de shell * Gestión de ventanas * Acceso al sistema de archivos * Enumeración de procesos * Control remoto de ratón/teclado Durante las sesiones activas, el proceso **Task Manager** se termina para evitar interrupciones y ocultar la actividad maliciosa. Para facilitar el robo de datos, **TCLBanker** utiliza un sistema de superposición basado en WPF para mostrar ventanas emergentes falsas de credenciales, teclados PIN, formularios de recopilación de números de teléfono, pantallas de espera falsas de "soporte bancario", pantallas falsas de **Windows Update** y varias pantallas de progreso falsas. También utiliza superposiciones de "recorte" que enmascaran selectivamente partes de aplicaciones legítimas.  *Generación de una superposición falsa de actualización de Windows. Fuente: Elastic* ## Gusanos de WhatsApp y Outlook Una característica significativa de **TCLBanker** es su capacidad para auto-propagarse a través de los contactos de la víctima. El malware busca en los perfiles del navegador Chromium datos IndexedDB autenticados de **WhatsApp Web** y lanza una instancia oculta de Chromium para secuestrar la cuenta de la víctima.  *Secuestro de cuentas de WhatsApp. Fuente: Elastic* Luego, recopila contactos, filtra números brasileños y les envía mensajes de spam desde la cuenta comprometida, dirigiéndolos a las plataformas de distribución de **TCLBanker**. Otro módulo de gusano abusa de **Microsoft Outlook** a través de la automatización COM, lanzando la aplicación, recopilando contactos y direcciones de remitentes, y enviando correos electrónicos de phishing a través de la cuenta de correo electrónico de la víctima.  *Recopilación de contactos de Outlook. Fuente: Elastic* **Elastic** concluye que **TCLBanker** ejemplifica la evolución del malware LATAM, proporcionando a los ciberdelincuentes de bajo nivel características previamente exclusivas de herramientas altamente sofisticadas. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="imagen del artículo"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">El 99% de lo que encontró Mythos sigue sin parchear.</a></h2> <p>La IA encadenó cuatro zero-days en una sola explotación que eludió tanto los sandboxes del renderizador como los del sistema operativo. Se avecina una ola de nuevas explotaciones.</p> <p>En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Reclama tu lugar</a></p> </div> </div>