El troyano TCLBANKER se propaga a través de las cuentas de mensajería de las propias víctimas

Investigadores de seguridad de Elastic Security Labs han descubierto un nuevo troyano bancario brasileño llamado TCLBANKER. Cuando infecta una máquina, toma el control de las cuentas de WhatsApp y Outlook de la víctima y envía mensajes de phishing a sus contactos.

La campaña está etiquetada como REF3076. Basándose en infraestructura común y patrones de código, los investigadores han vinculado TCLBANKER con la familia de malware previamente conocida MAVERICK/SORVEPOTEL.

El troyano se propaga a través de un generador de prompts de IA

Elastic Security Labs afirma que el malware se presenta como un instalador troyanizado de Logi AI Prompt Builder, que es una aplicación real de Logitech firmada digitalmente. El instalador viene en un archivo ZIP y utiliza DLL sideloading para ejecutar un archivo malicioso que parece un plugin de Flutter.

Una vez cargado, el troyano despliega dos payloads protegidos por .NET Reactor. Uno es un módulo bancario y el otro es un módulo gusano diseñado para la autopropagación.

Tras la carga, el troyano despliega dos payloads protegidos por .NET Reactor. Uno es un módulo bancario y el otro es un módulo gusano capaz de propagarse por sí mismo.

Las comprobaciones anti-análisis bloquean a los investigadores

Son tres las partes que conforman la huella digital que construye el cargador de TCLBANKER.

1. Comprobaciones anti-depuración.
2. Información de disco y memoria.
3. Configuración de idioma.

La huella digital genera las claves de desencriptación para el payload integrado. Si algo parece incorrecto, como un depurador adjunto, un entorno sandbox o poco espacio en disco, la desencriptación produce datos basura y el malware se detiene silenciosamente.

El cargador también parchea las funciones de telemetría de Windows para cegar las herramientas de seguridad. Crea trampolines de syscall directos para evitar los hooks en modo usuario.

Un vigilante siempre está buscando software de análisis como x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker y Frida. Si se detecta alguna de estas herramientas, el payload deja de funcionar.

El módulo bancario solo se activa en equipos brasileños

El módulo bancario se activa en equipos ubicados en Brasil. Hay un mínimo de dos comprobaciones de geofencing que analizan el código de región, la zona horaria, la configuración regional del sistema y la distribución del teclado.

El malware lee la barra de URL activa del navegador utilizando Windows UI Automation. Funciona en muchos navegadores como Chrome, Firefox, Edge, Brave, Opera y Vivaldi, y monitoriza la URL activa cada segundo.

El malware luego compara la URL con una lista de 59 URLs cifradas. Esta lista contiene enlaces a sitios web de cripto, bancos y fintech en Brasil.

Cuando una víctima visita uno de los sitios web objetivo, el malware abre un WebSocket hacia un servidor remoto. El hacker obtiene entonces el control remoto total del equipo.

Una vez concedido el acceso, el hacker utiliza una superposición que coloca una ventana sin bordes y en primer plano sobre todos los monitores. La superposición no es visible en capturas de pantalla y las víctimas no pueden compartir lo que ven con otros.

La superposición del hacker tiene tres plantillas:

• Un formulario de recopilación de credenciales con un número de teléfono brasileño falso.
• Una pantalla de progreso falsa de actualización de Windows.
• Una "pantalla de espera de vishing" que mantiene ocupadas a las víctimas.

Bots maliciosos propagan el troyano brasileño en WhatsApp y Outlook

El segundo payload propaga TCLBANKER a nuevas víctimas a través de dos vías:

• Aplicación web de WhatsApp.
• Bandejas de entrada/cuentas de Outlook.

El bot de WhatsApp busca sesiones activas de WhatsApp Web en navegadores Chromium localizando los directorios de bases de datos locales de la aplicación.

El bot clona el perfil del navegador y luego lanza una instancia de Chromium en modo headless. "Un navegador headless es un navegador web sin interfaz gráfica de usuario", según Wikipedia. A continuación, inyecta JavaScript para eludir la detección de bots y recopila los contactos de la víctima.

Al final, el bot envía mensajes de phishing que contienen el instalador de TCLBANKER a los contactos de la víctima.

El bot de Outlook se conecta a través de la automatización del Modelo de Objetos de Componentes (COM). La automatización COM permite que un programa controle otro programa.

El bot obtiene direcciones de correo electrónico de la carpeta de Contactos y del historial de la bandeja de entrada, y luego envía correos de phishing utilizando la cuenta de la víctima.

Los correos tienen el asunto "NFe disponível para impressão", que en español significa "Factura electrónica disponible para imprimir". Enlaza a un dominio de phishing que suplanta una plataforma ERP brasileña.

Dado que los correos se envían desde cuentas reales, es más probable que eviten los filtros de spam.

La semana pasada, Cryptopolitan informó de que investigadores identificaron cuatro troyanos para Android dirigidos a más de 800 aplicaciones de cripto, bancarias y de redes sociales mediante falsas superposiciones de inicio de sesión.

En otro informe, un malware llamado StepDrainer ha estado vaciando carteras en más de 20 redes blockchain utilizando interfaces falsas de conexión de carteras Web3.

Si deseas una entrada más tranquila al mundo del cripto DeFi sin el hype habitual, empieza con este vídeo gratuito.