TCLBANKER, il trojan bancario “invisibile”: infetta 59 servizi e si diffonde via WhatsApp Web e Outlook

Il trojan bancario TCLBANKER rappresenta una nuova minaccia informatica emersa nell’ecosistema dei malware brasiliani, con una capacità di attacco estesa a 59 piattaforme tra banche, servizi fintech e siti legati alle criptovalute. Il punto di forza di questa campagna è una catena di infezione progettata per eludere le difese e diffondersi rapidamente sfruttando canali di comunicazione considerati affidabili dagli utenti.

L’infezione inizia con un archivio ZIP che contiene un installer MSI malevolo. Il pacchetto abusa di un programma firmato e legittimo per attivare una tecnica di DLL side loading, caricando una libreria dannosa che agisce da loader. Questo loader integra funzioni avanzate di anti-analisi e un sistema di controllo continuo che cerca strumenti di debug, sandbox, disassembler, tool di instrumentation e soluzioni antivirus. Se rileva condizioni sospette, il malware modifica il proprio comportamento per evitare l’esecuzione o impedire il corretto caricamento dei moduli.

Un aspetto critico è la generazione di impronte del sistema basate su controlli anti-debug e anti-virtualizzazione, verifiche sul disco e controlli linguistici. Questi elementi producono un hash di ambiente usato per decifrare il payload incorporato. Se, per esempio, è presente un debugger, l’hash risulta errato e la decifrazione fallisce, bloccando TCLBANKER. Inoltre viene verificata la lingua del sistema, con focus sul portoghese brasiliano, restringendo i bersagli e riducendo il rumore operativo.

Superati i controlli, entra in azione il banking trojan vero e proprio, che imposta la persistenza tramite attività pianificata e contatta un server remoto con richieste HTTP POST contenenti informazioni di base del sistema. Il malware include anche un meccanismo di auto-aggiornamento e un monitor URL che legge l’indirizzo del browser in primo piano tramite UI Automation, colpendo browser diffusi come Chrome, Firefox, Edge, Brave, Opera e Vivaldi. Quando l’URL corrisponde a una lista interna di istituti finanziari, viene aperta una connessione WebSocket per ricevere comandi come screenshot, streaming schermo, keylogger, controllo remoto, gestione file e overlay per furto credenziali.

La parte di social engineering è particolarmente insidiosa grazie a overlay a schermo intero in WPF che mostrano finte richieste di accesso, schermate di attesa per vishing, barre di avanzamento e falsi aggiornamenti di Windows, con tecniche per nascondersi dagli strumenti di cattura schermo.

In parallelo, un modulo worm propaga l’infezione con due vettori:

• Worm WhatsApp Web: sfrutta sessioni browser già autenticate.
• Bot Outlook: invia email di phishing dai contatti della vittima, aumentando la credibilità e riducendo l’efficacia dei filtri antispam tradizionali.