Les chasseurs de menaces ont identifié un cheval de Troie bancaire brésilien jusqu'alors non documenté, appelé **TCLBANKER**, capable de cibler 59 plateformes bancaires, fintech et de cryptomonnaies. Cette activité est suivie par **Elastic Security Labs** sous le nom de code **REF3076**. La famille de malware est considérée comme une mise à jour majeure du cheval de Troie Maverick, connu pour utiliser un ver appelé SORVEPOTEL pour se propager via WhatsApp Web. La campagne Maverick est attribuée à un groupe de menaces que **Trend Micro** appelle Water Saci.  ### Chaîne d'attaque Au cœur de la chaîne d'attaque se trouve un chargeur doté de robustes capacités d'anti-analyse qui déploie deux modules embarqués : un cheval de Troie bancaire complet et un composant ver qui utilise **WhatsApp** et **Microsoft Outlook** pour sa propagation. « La chaîne d'infection observée regroupe un installateur MSI malveillant à l'intérieur d'un fichier ZIP », ont déclaré des chercheurs d'**Elastic**. « Ces paquets d'installation MSI abusent d'un programme signé de **Logitech** appelé Logi AI Prompt Builder. » Le malware utilise le chargement latéral de DLL contre l'application pour lancer une DLL malveillante ("screen_retriever_plugin.dll"), qui fonctionne comme un chargeur avec un « sous-système de surveillance complet ». Ce sous-système surveille activement les outils d'analyse, les sandboxes, les débogueurs, les désassembleurs, les outils d'instrumentation et les logiciels antivirus pour échapper à la détection. La DLL malveillante ne s'exécute que si elle est chargée par "logiaipromptbuilder.exe" (le programme **Logitech**) ou "tclloader.exe" (probablement une référence à un exécutable utilisé pendant les tests). Elle supprime également les hooks en mode utilisateur placés par le logiciel de sécurité des points d'extrémité dans "ntdll.dll" et désactive la télémétrie d'Event Tracing for Windows (ETW). ### Techniques d'évasion Le malware génère trois empreintes basées sur des vérifications anti-débogage, anti-virtualisation, des informations sur le disque système et la langue. Il les utilise pour créer une valeur de hachage d'environnement qui déchiffre la charge utile embarquée. La vérification de la langue du système garantit que la langue par défaut de l'utilisateur est le portugais brésilien. **Elastic** a expliqué : « Par exemple, si un débogueur est présent, il produira un hachage incorrect, de sorte que lorsque le malware tentera de dériver les clés de déchiffrement à partir du hachage, la charge utile ne sera pas correctement déchiffrée et **TCLBANKER** cessera de s'exécuter. » ### Fonctionnalités du cheval de Troie Le composant principal lancé après ces vérifications est le cheval de Troie bancaire. Il vérifie qu'il s'exécute sur un système brésilien et établit la persistance à l'aide d'une tâche planifiée. Par la suite, il envoie une requête HTTP POST à un serveur externe contenant des informations système de base. **TCLBANKER** intègre un mécanisme d'auto-mise à jour et un moniteur d'URL qui extrait l'URL actuelle de la barre d'adresse du navigateur au premier plan à l'aide de l'automatisation de l'interface utilisateur. Il cible les navigateurs populaires comme **Google Chrome**, **Mozilla Firefox**, **Microsoft Edge**, **Brave**, **Opera** et **Vivaldi**. L'URL extraite est comparée à une liste d'institutions financières ciblées. S'il y a une correspondance, il établit une connexion WebSocket avec un serveur distant et entre dans une boucle de distribution de commandes, permettant à l'opérateur d'effectuer diverses tâches : * Exécuter des commandes shell * Capturer des captures d'écran * Démarrer/arrêter le streaming d'écran * Manipuler le presse-papiers * Lancer un enregistreur de frappe * Contrôler à distance la souris/le clavier * Gérer les fichiers et les processus * Énumérer les processus en cours d'exécution * Lister les fenêtres visibles * Servir de faux overlays pour le vol d'identifiants Pour le vol de données, **TCLBANKER** utilise un framework d'overlay plein écran basé sur Windows Presentation Foundation (WPF) pour mener des ingénieries sociales à l'aide d'invites de collecte d'identifiants, d'écrans d'attente de vishing, de fausses barres de progression et de fausses mises à jour Windows, tout en masquant les overlays des outils de capture d'écran. ### Propagation par ver En parallèle, le chargeur invoque le module de ver pour propager le cheval de Troie via des messages spam et de phishing à grande échelle. Il emploie une approche à deux volets impliquant un ver **WhatsApp** Web et un bot d'e-mails **Outlook**. Comme SORVEPOTEL, le ver **WhatsApp** récupère un modèle de message du serveur et utilise le projet open-source WPPConnect pour automatiser l'envoi de messages, en filtrant les groupes, les diffusions et les numéros non brésiliens. L'agent **Outlook** est un bot de spam par e-mail qui abuse de l'application **Microsoft Outlook** installée par la victime pour envoyer des e-mails de phishing depuis l'adresse e-mail de la victime, contournant ainsi les filtres anti-spam et donnant aux messages une illusion de confiance. ### Conclusion « **TCLBANKER** reflète une maturation plus large au sein de l'écosystème des chevaux de Troie bancaires brésiliens », a conclu **Elastic**. « Des techniques qui étaient autrefois la marque des acteurs de menaces plus sophistiqués : déchiffrement de charge utile conditionné par l'environnement, génération directe d'appels système, orchestration d'ingénierie sociale en temps réel via WebSocket, sont maintenant intégrées dans des logiciels malveillants commerciaux. » « La campagne hérite de la confiance et de la délivrabilité des communications légitimes en détournant les sessions **WhatsApp** et les comptes **Outlook** des victimes. C'est un modèle de distribution que les passerelles d'e-mails traditionnelles et les défenses basées sur la réputation sont mal équipées pour intercepter. »