**TCLBanker** é um trojan sofisticado que visa uma ampla gama de plataformas financeiras. Descoberto pela **Elastic Security Labs**, os pesquisadores acreditam que ele representa uma evolução significativa da antiga família de malware Maverick/Sorvepotel. Embora atualmente focado no Brasil, com verificações de fuso horário, layout de teclado e localidade, o potencial de expansão para outras regiões permanece uma preocupação, como visto com outros malwares da LATAM no passado. ## Capacidades do TCLBanker A **Elastic** alerta que o **TCLBanker** é fortemente protegido contra análise e depuração. Ele emprega rotinas de descriptografia de payload dependentes do ambiente, projetadas para falhar em sandboxes ou ambientes de analistas. Uma thread de watchdog persistente procura ativamente e encerra ferramentas de análise como x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra e de4dot.  *Monitoramento de processos visados. Fonte: Elastic* O malware é carregado no contexto do aplicativo legítimo **Logitech** usando DLL side-loading, ajudando-o a evadir a detecção por produtos de segurança. Pesquisadores sugerem que a IA pode ter sido usada no desenvolvimento do malware, com base em artefatos de código. O módulo bancário monitora a barra de endereço do navegador a cada segundo usando as APIs de Automação de UI do **Windows**, observando o acesso a qualquer uma das 59 plataformas visadas. Ao detectar, ele estabelece uma sessão WebSocket com o servidor de comando e controle (C2), enviando informações da vítima e do sistema, e iniciando operações de controle remoto. Essas operações incluem: * Transmissão de tela ao vivo * Captura de tela * Keylogging * Sequestro de área de transferência * Execução de comandos shell * Gerenciamento de janelas * Acesso ao sistema de arquivos * Enumeração de processos * Controle remoto de mouse/teclado Durante sessões ativas, o processo **Task Manager** é encerrado para evitar interrupções e ocultar atividades maliciosas. Para facilitar o roubo de dados, o **TCLBanker** usa um sistema de overlay baseado em WPF para exibir prompts de credenciais falsos, teclados PIN, formulários de coleta de número de telefone, telas de espera falsas de "suporte bancário", telas falsas de **Windows Update** e várias telas de progresso falsas. Ele também utiliza overlays "recortados" que mascaram seletivamente partes de aplicativos legítimos.  *Gerando um overlay falso de atualização do Windows. Fonte: Elastic* ## Worms de WhatsApp e Outlook Um recurso significativo do **TCLBanker** é sua capacidade de se auto-propagar através dos contatos da vítima. O malware procura perfis do navegador Chromium por dados IndexedDB autenticados do **WhatsApp Web** e lança uma instância oculta do Chromium para sequestrar a conta da vítima.  *Sequestrando contas do WhatsApp. Fonte: Elastic* Em seguida, ele coleta contatos, filtra números brasileiros e envia mensagens de spam da conta comprometida, direcionando-os para as plataformas de distribuição do **TCLBanker**. Outro módulo worm abusa do **Microsoft Outlook** através de automação COM, lançando o aplicativo, coletando contatos e endereços de remetentes, e enviando e-mails de phishing através da conta de e-mail da vítima.  *Coletando contatos do Outlook. Fonte: Elastic* A **Elastic** conclui que o **TCLBanker** exemplifica a evolução do malware LATAM, fornecendo a cibercriminosos de baixo escalão recursos anteriormente exclusivos de ferramentas altamente sofisticadas. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="imagem do artigo"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% do que a Mythos encontrou ainda não foi corrigido.</a></h2> <p>A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes de renderização e do sistema operacional. Uma onda de novos exploits está chegando.</p> <p>Na Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Garanta sua Vaga</a></p> </div> </div>