Um novo trojano bancário conhecido como TCLBANKER tem sido distribuído silenciosamente, utilizando um método de entrega tão engenhoso quanto preocupante. Os atacantes estão empregando uma versão trojanizada de um instalador legítimo e digitalmente assinado para infiltrar malware nas máquinas das vítimas sem levantar suspeitas imediatas. A campanha, rastreada como REF3076, empacota um instalador MSI malicioso dentro de um arquivo ZIP e explora a confiança que as pessoas depositam em nomes de software reconhecíveis.
Descoberta e escopo da ameaça
Analistas do Elastic Security Labs identificaram este novo trojano bancário brasileiro, avaliando-o como uma evolução significativa de uma família de malware mais antiga conhecida como MAVERICK e SORVEPOTEL. A campanha parece estar em seus estágios iniciais, com artefatos de desenvolvedor e uma página de phishing incompleta sugerindo que os atacantes ainda estão construindo ativamente sua infraestrutura. O TCLBANKER tem como alvo primário usuários no Brasil, especificamente aqueles que visitam sites de bancos, fintechs e criptomoedas.
O trojano monitora o navegador da vítima em tempo real, observando visitas a qualquer uma das 59 domínios financeiros alvo. Quando uma correspondência é encontrada, ele abre uma conexão viva com o servidor de comando do atacante e coloca o operador no controle total. O escopo do dano potencial vai muito além do simples roubo de credenciais. O malware pode exibir sobreposições falsas em tela cheia que parecem interfaces bancárias reais, congelar a área de trabalho aparente para confundir as vítimas e matar o Gerenciador de Tarefas para impedir que os usuários encerre o processo malicioso.
Vetor de infecção e técnica de sideloading
A infecção começa quando uma vítima executa o que parece ser um instalador legítimo de um aplicativo Logitech. Dentro do pacote, os agentes de ameaça armaram o Logi AI Prompt Builder, abusando de uma técnica chamada DLL sideloading para infiltrar um arquivo malicioso no processo. Uma vez que o aplicativo é iniciado, ele carrega automaticamente o DLL prejudicial sem que o usuário saiba que algo deu errado.
O instalador malicioso ZIP contém um instalador MSI que imita o Logi AI Prompt Builder legítimo, um aplicativo real baseado em Flutter. Quando instalado, o pacote trojanizado deixa um DLL falso chamado screen_retriever_plugin.dll, que se disfarça como um plugin genuíno do Flutter e é carregado automaticamente na inicialização. O carregador dentro deste DLL é repleto de truques para evitar a detecção.
Evasão de detecção e persistência
O carregador verifica se o sistema está sendo executado dentro de uma sandbox ou máquina virtual, verifica se o idioma padrão do usuário é o português do Brasil e até mede o tempo para capturar frameworks de emulação que aceleram as chamadas de sono. Se algo parecer fora do comum, o malware simplesmente para de executar sem deixar rastros óbvios. Essa abordagem de gatekeeping de ambiente significa que o payload só se descriptografa em máquinas reais e qualificadas.
Para garantir persistência, o malware registra tarefas agendadas no sistema operacional. Isso permite que o trojano seja executado automaticamente sempre que o usuário faz login ou quando o sistema inicia, garantindo que a infecção permaneça ativa mesmo após reinicializações. A combinação de técnicas de evasão e persistência torna o TCLBANKER particularmente difícil de detectar por soluções de segurança tradicionais.
Módulos de auto-propagação
O que torna o TCLBANKER particularmente perigoso não é apenas o que ele faz em uma única máquina, mas o quão longe ele pode se espalhar a partir daí. O malware vem com dois módulos de worm projetados para enviar a si mesmo aos contatos da vítima usando canais que esses contatos já confiam. O primeiro sequestra a sessão ativa do WhatsApp Web no navegador, enviando silenciosamente mensagens para contatos brasileiros com um link para baixar o malware.
O segundo abusa do Microsoft Outlook através de automação, enviando e-mails de phishing diretamente da própria conta de e-mail da vítima. Como essas mensagens vêm de remetentes reais e conhecidos, são muito mais difíceis para os filtros de segurança capturarem. O bot do Outlook primeiro colhe a lista de contatos da vítima e, em seguida, envia e-mails direcionados que parecem completamente autênticos.
Infraestrutura e indicadores de comprometimento
Os pesquisadores da Elastic notaram que toda a infraestrutura de comando e fornecimento de arquivos é executada no Cloudflare Workers sob uma única conta, facilitando para os operadores rotacionar a infraestrutura rapidamente quando necessário. Os indicadores de comprometimento (IoCs) incluem hashes SHA-256 específicos para os componentes do loader e domínios de servidor de comando e controle (C2) que estão sendo utilizados para a distribuição do malware.
Os domínios incluem servidores de arquivos e páginas de phishing em desenvolvimento, que são projetados para parecer legítimos e aumentar a taxa de sucesso da engenharia social. A análise forense desses domínios e hashes é crucial para equipes de SOC que buscam identificar e bloquear a atividade do TCLBANKER em suas redes.
Medidas de mitigação recomendadas
Organizações e indivíduos podem tomar várias medidas para reduzir a exposição. Manter o software de segurança atualizado garante que as assinaturas de detecção mais recentes estejam em vigor. Ser cauteloso com arquivos ZIP ou instaladores MSI recebidos por meio de aplicativos de mensagens ou e-mail, mesmo de contatos conhecidos, é crítico dada a capacidade de auto-propagação deste trojano.
Monitorar tarefas agendadas incomuns, cargas de DLL inesperadas junto com software legítimo e conexões de saída suspeitas também pode ajudar a sinalizar infecções precocemente. A implementação de controles de aplicação restritiva e a verificação de integridade de arquivos podem prevenir a execução de DLLs não assinadas ou modificadas. Além disso, a educação dos usuários sobre os riscos de baixar software de fontes não oficiais é fundamental para prevenir a infecção inicial.
Implicações para o mercado brasileiro
O foco específico no Brasil e nos setores bancário e de criptomoedas destaca a necessidade de vigilância aprimorada nas instituições financeiras locais. A LGPD exige que as empresas notifiquem incidentes de segurança, e a detecção precoce deste trojano é essencial para cumprir os prazos regulatórios. A evolução deste malware sugere que os atacantes estão se tornando mais sofisticados na exploração de marcas legítimas para mascarar atividades maliciosas.
Perguntas frequentes
Como saber se meu sistema está infectado? Verifique a presença de processos desconhecidos, cargas de DLL suspeitas e conexões de rede para os domínios listados nos IoCs. Ferramentas de EDR podem ajudar a identificar comportamentos anômalos.
Devo desinstalar o Logitech? Não necessariamente. O problema é o instalador trojanizado, não o software legítimo. Baixe atualizações apenas do site oficial da Logitech.
É seguro usar WhatsApp Web? Sim, mas esteja atento a links recebidos de contatos que podem ter sido comprometidos. Verifique sempre a autenticidade de links suspeitos.