Investigadores de la firma Elastic Security Labs identificaron un troyano bancario identificado como TCLBANKER, una amenaza dirigida principalmente a usuarios de América Latina que incorpora funciones de propagación automática mediante WhatsApp y Microsoft Outlook, además de capacidades de robo de credenciales y monitoreo de actividad bancaria.
Investigadores de la firma de seguridad Elastic Security Labs analizaron una nueva variante de malware bancario identificado como TCLBANKER, el cual es considerado como una evolución de la antigua familia de malware Maverick/Sorvepotel. El malware está asociado principalmente a campañas dirigidas contra usuarios de instituciones financieras en América Latina, especialmente en plataformas bancarias, de tecnología financiera y de criptomonedas en Brasil. El análisis indica que esta versión incorpora nuevas capacidades de propagación y persistencia, además de funciones orientadas al robo de información bancaria y credenciales de acceso.
De acuerdo con el reporte técnico compartido por la firma de seguridad el pasado 6 de mayo, TCLBANKER se distribuye mediante instaladores MSI maliciosos disfrazados como software legítimo de Logitech. Cuando la víctima ejecuta el instalador, el malware aprovecha una técnica de carga lateral de DLL para ejecutar una biblioteca maliciosa junto a una aplicación legítima de Logitech.
Las conclusiones de los especialistas indican que antes de desplegar sus funciones, el malware realiza múltiples verificaciones anti-análisis y anti-sandbox. Comprueba si está siendo ejecutado en máquinas virtuales, entornos de pruebas, herramientas de depuración o sistemas con configuraciones distintas a usuarios brasileños. Si detecta anomalías, detiene silenciosamente la ejecución para evitar el análisis.
Una vez activo, TCLBANKER instala persistencia mediante tareas programadas y se comunica con servidores remotos controlados por los atacantes. El malware monitorea continuamente la barra de direcciones de navegadores como Chrome, Edge, Firefox, Brave y Opera utilizando UI Automation de Windows. El reporte identificó que los actores maliciosos definieron unos 59 dominios bancarios, fintech o de criptomonedas en su lista de objetivos, con los que iniciaba una sesión remota con el servidor C2 mediante WebSocket.
El troyano incorpora funciones de acceso remoto completas y puede capturar pantallas, registrar pulsaciones de teclado, controlar el mouse, ejecutar comandos, manipular ventanas y secuestrar el portapapeles. También utiliza superposiciones visuales a pantalla completa desarrolladas en WPF para simular pantallas legítimas del banco o falsas actualizaciones de Windows. Estas interfaces buscan engañar a la víctima para obtener credenciales, números telefónicos o códigos de autenticación.
Una de sus funciones principales a la que apuntan los especialistas es al uso de overlays interactivos que bloquean parcialmente la interacción del usuario mientras el operador remoto controla la sesión. El malware puede mostrar formularios falsos de autenticación, pantallas de espera y mensajes simulando procesos bancarios o actualizaciones del sistema operativo.
Además del componente bancario, TCLBANKER incluye dos módulos de autopropagación. El primero secuestra sesiones activas de WhatsApp Web desde navegadores Chromium para lo cual clona perfiles del navegador, reutiliza cookies y almacenamiento local, y utiliza Selenium junto a bibliotecas de automatización para enviar mensajes maliciosos a contactos brasileños directamente desde la cuenta legítima de la víctima.
El segundo módulo utiliza Microsoft Outlook mediante automatización COM. El malware recopila contactos y direcciones de correo desde Outlook y envía correos de phishing utilizando la propia cuenta de correo de la víctima, dificultando la detección por filtros antispam tradicionales.
La infraestructura utilizada por los operadores se basa principalmente en Cloudflare Workers, desde donde alojan los servidores de comando y control, archivos de descarga y campañas de phishing. Por último, los investigadores de Elastic señalaron que varios dominios asociados aún se encontraban en construcción o en etapas tempranas de operación al momento del análisis.