Caçadores de ameaças identificaram um trojan bancário brasileiro anteriormente não documentado chamado **TCLBANKER**, capaz de atingir 59 plataformas bancárias, fintech e de criptomoedas. Essa atividade está sendo rastreada pela **Elastic Security Labs** sob o codinome **REF3076**. A família de malware é considerada uma grande atualização do trojan Maverick, conhecido por alavancar um worm chamado SORVEPOTEL para se espalhar via WhatsApp Web. A campanha Maverick é atribuída a um cluster de ameaças que a **Trend Micro** chama de Water Saci.  ### Cadeia de Ataque No centro da cadeia de ataque está um loader com robustas capacidades de anti-análise que implanta dois módulos embarcados: um trojan bancário completo e um componente worm que utiliza **WhatsApp** e **Microsoft Outlook** para propagação. "A cadeia de infecção observada agrupa um instalador MSI malicioso dentro de um arquivo ZIP", disseram pesquisadores da **Elastic**. "Esses pacotes de instalador MSI estão abusando de um programa assinado da **Logitech** chamado Logi AI Prompt Builder." O malware utiliza DLL side-loading contra o aplicativo para lançar uma DLL maliciosa ("screen_retriever_plugin.dll"), que funciona como um loader com um "sub-sistema de vigilância abrangente". Este sub-sistema monitora ativamente ferramentas de análise, sandboxes, debuggers, disassemblers, ferramentas de instrumentação e software antivírus para evadir detecção. A DLL maliciosa só executa se for carregada por "logiaipromptbuilder.exe" (o programa da **Logitech**) ou "tclloader.exe" (provavelmente uma referência a um executável usado durante os testes). Ele também remove hooks de usermode colocados pelo software de segurança de endpoint dentro de "ntdll.dll" e desabilita a telemetria do Event Tracing for Windows (ETW). ### Técnicas de Evasão O malware gera três fingerprints baseados em verificações anti-debugging, anti-virtualização, informações de disco do sistema e idioma. Ele usa essas informações para criar um valor de hash do ambiente que descriptografa o payload embarcado. A verificação do idioma do sistema garante que o idioma padrão do usuário seja o português brasileiro. A **Elastic** explicou: "Por exemplo, se um debugger estiver presente, ele produzirá um hash incorreto, então quando o malware tentar derivar as chaves de descriptografia do hash, o payload não será descriptografado corretamente e o **TCLBANKER** parará de executar." ### Funcionalidade do Trojan O componente principal lançado após essas verificações é o trojan bancário. Ele verifica se está rodando em um sistema brasileiro e estabelece persistência usando uma tarefa agendada. Subsequentemente, ele envia uma requisição HTTP POST para um servidor externo contendo informações básicas do sistema. O **TCLBANKER** incorpora um mecanismo de auto-atualização e um monitor de URL que extrai a URL atual da barra de endereço do navegador em primeiro plano usando UI Automation. Ele visa navegadores populares como **Google Chrome**, **Mozilla Firefox**, **Microsoft Edge**, **Brave**, **Opera** e **Vivaldi**. A URL extraída é comparada com uma lista de instituições financeiras visadas. Se houver uma correspondência, ele estabelece uma conexão WebSocket com um servidor remoto e entra em um loop de despacho de comandos, permitindo que o operador execute várias tarefas: * Executar comandos shell * Capturar screenshots * Iniciar/parar streaming de tela * Manipular a área de transferência * Iniciar um keylogger * Controlar remotamente mouse/teclado * Gerenciar arquivos e processos * Enumerar processos em execução * Listar janelas visíveis * Servir overlays falsos para roubo de credenciais Para roubo de dados, o **TCLBANKER** usa um framework de overlay em tela cheia baseado em Windows Presentation Foundation (WPF) para realizar engenharia social usando prompts de coleta de credenciais, telas de espera de vishing, barras de progresso falsas e atualizações falsas do Windows, tudo isso enquanto oculta os overlays de ferramentas de captura de tela. ### Propagação do Worm Em paralelo, o loader invoca o módulo de worm para propagar o trojan via spam e mensagens de phishing em escala. Ele emprega uma abordagem de dois prismas que envolve um worm do **WhatsApp** Web e um bot de e-mail do **Outlook**. Assim como o **SORVEPOTEL**, o worm do **WhatsApp** recupera um modelo de mensagem do servidor e alavanca o projeto open-source WPPConnect para automatizar o envio de mensagens, filtrando grupos, transmissões e números não brasileiros. O agente do **Outlook** é um spambot de e-mail que abusa do aplicativo **Microsoft Outlook** instalado da vítima para enviar e-mails de phishing do endereço de e-mail da vítima, contornando filtros de spam e dando às mensagens uma ilusão de confiança. ### Conclusão "O **TCLBANKER** reflete uma maturação mais ampla ocorrendo em todo o ecossistema de trojans bancários brasileiros", concluiu a **Elastic**. "Técnicas que antes eram a marca registrada de atores de ameaças mais sofisticados: descriptografia de payload com restrição de ambiente, geração direta de chamadas de sistema, orquestração de engenharia social em tempo real via WebSocket, agora estão sendo empacotadas em crimeware de commodity." "A campanha herda a confiança e a capacidade de entrega de comunicações legítimas ao sequestrar as sessões de **WhatsApp** e as contas de **Outlook** das vítimas. Este é um modelo de distribuição que gateways de e-mail tradicionais e defesas baseadas em reputação estão mal equipados para capturar."