Un nuevo actor en la larga saga de malware dirigido a la banca brasileña vuelve a demostrar que las técnicas avanzadas ya no están confinadas a grupos sofisticados: investigadores han identificado a TCLBANKER, una familia de troyanos que, según Elastic Security Labs, está siendo seguida como REF3076 y que constituye una evolución importante del viejo Maverick y su componente gusano SORVEPOTEL. Lo relevante no es solo la capacidad de robar credenciales o controlar máquinas remotas, sino la combinación de evasión técnica, puertas traseras de persistencia y un modelo de distribución que explota la confianza de las comunicaciones legítimas.
En la práctica, el ataque comienza con un instalador MSI empaquetado en un ZIP y firmado por un binario legítimo de Logitech que se abusa mediante DLL side‑loading. El DLL malicioso actúa como un cargador con un sistema de vigilancia que detecta analizadores, sandboxes y depuradores, elimina hooks de seguridad en ntdll.dll y desactiva la telemetría ETW para dificultar el análisis forense. Además, el código genera varias "huellas" del entorno —controles anti‑virtualización, información del disco y la configuración de idioma del sistema— que sirven para derivar claves de descifrado del payload solo si la máquina cumple los requisitos, en particular que el idioma por defecto sea portugués de Brasil.
El componente principal implementa técnicas ya vistas en campañas más maduras: un troyano bancario que monitoriza las URLs visibles en el navegador mediante UI Automation, establece conexiones WebSocket para recibir órdenes en tiempo real y despliega superposiciones a pantalla completa basadas en WPF para suplantar ventanas legítimas y capturar credenciales. Estas superposiciones están diseñadas para burlar herramientas de captura de pantalla y combinar tácticas de vishing y phishing en tiempo real, lo que eleva el riesgo de fraude incluso ante soluciones antivirus tradicionales.
Paralelamente, el cargador activa un módulo gusano que propaga la infección mediante dos vectores: secuestra sesiones de WhatsApp Web para enviar mensajes a contactos seleccionados (filtrando grupos y números fuera de Brasil y reutilizando frameworks como WPPConnect para automatizar el envío) y abusa de Microsoft Outlook instalado en la máquina víctima para enviar correos de phishing desde la dirección legítima del usuario. El resultado es una difusión altamente efectiva que aprovecha la confianza en las comunicaciones personales y corporativas.
Las implicaciones son claras: las defensas basadas exclusivamente en reputación de remitente o en firmas estáticas ya no son suficientes. Un mensaje que sale del propio Outlook de la víctima o desde su sesión autenticada de WhatsApp puede eludir filtros y generar una ola de infecciones entre contactos de confianza. Además, la práctica de “gating” por idioma y entorno reduce la visibilidad en investigaciones globales y concentra el daño en objetivos lucrativos, como bancos y plataformas fintech brasileñas.
Para usuarios finales la recomendación inmediata es ejercer cautela: no ejecutar MSI o instaladores recibidos por correo o mensajería sin verificar la procedencia, cerrar sesiones de WhatsApp Web cuando no se usen y activar la verificación en dos pasos donde sea posible. Para organizaciones, la respuesta debe ser multidimensional: reforzar el control de aplicaciones y el allowlisting, monitorizar la creación de tareas programadas y actividades anómalas de procesos firmados por terceros que carguen librerías inusuales, y ajustar las reglas de EDR para detectar comportamiento ofensivo (desactivación de ETW, manipulación de ntdll.dll, uso de UI Automation para leer barras de dirección, conexiones WebSocket persistentes hacia dominios sospechosos).
Además, es crítico endurecer el entorno de correo: aplicar autenticación fuerte (MFA) a cuentas, usar políticas de envío restringido y monitorizar patrones de envío inusuales desde cuentas internas que podrían indicar abuso por un spambot local. La capacitación en reconocimiento de superposiciones y de señales de vishing incrementa la resiliencia del usuario frente a las pantallas falsas y los mensajes que simulan soporte o actualizaciones.
Las defensas colectivas también importan: equipos de respuesta y SOCs deben compartir indicadores y buscar señales específicas como procesos llamados logiaipromptbuilder.exe, la presencia de tareas programadas con nombres inusuales, procesos que interactúan masivamente con la interfaz de usuario y tráfico WebSocket saliente a infraestructuras recién creadas. Para entender mejor las herramientas que este malware reutiliza, puede consultarse el proyecto WPPConnect en GitHub https://github.com/wppconnect-team/wppconnect, y para comprender cómo se puede abusar y mitigar la eliminación de telemetría y tracing en Windows conviene revisar la documentación de Event Tracing for Windows (ETW) en Microsoft https://learn.microsoft.com/en-us/windows/win32/etw/about-event-tracing. Para el aspecto humano del engaño, los recursos sobre ingeniería social de OWASP son útiles como referencia educativa https://owasp.org/www-community/Social_Engineering.
En suma, TCLBANKER evidencia la madurez y la comercialización de capacidades que antes eran distintivas de actores de mayor nivel: cifrado condicionado al entorno, evasión avanzada y un modelo de propagación que monetiza la confianza interpersonal. La respuesta debe combinar tecnología, procesos y educación para que la combinación de sesiones autenticadas, aplicaciones de mensajería y clientes de correo no se convierta en el canal por el que se expande la próxima ola de fraude bancario.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Mini Shai-Hulud: el ataque que convirtió las dependencias en vectores de intrusión masiva
Resumen del incidente: GitHub investiga un acceso no autorizado a repositorios internos después de que el actor conocido como TeamPCP puso a la venta en un foro delictivo el sup...
Alerta de seguridad: CVE-2026-45829 expone ChromaDB a ejecución remota de código sin autenticación
Un fallo crítico en la API Python de ChromaDB —la popular base de vectores usada para recuperación durante inferencia de LLM— permite a atacantes no autenticados ejecutar código...
Trapdoor: la operación de malvertising que convirtió apps Android en una fábrica automática de ingresos ilícitos
Investigadores de ciberseguridad han descubierto una operación de malvertising y fraude publicitario móvil bautizada como Trapdoor, que convierte instalaciones legítimas de apli...
Alerta de seguridad: vulnerabilidades críticas en SEPPMail podrían permitir leer correos y ejecutar código remoto
Investigadores de seguridad han detectado una cadena de fallos críticos en SEPPMail Secure E-Mail Gateway que, en conjunto, permiten desde la lectura de correos ajenos hasta la ...
Nx Console en jaque: cómo una extensión de productividad se convirtió en un robo de credenciales y una amenaza para la cadena de suministro
Un ataque dirigido a desarrolladores volvió a poner en evidencia la fragilidad de la cadena de suministro del software: la extensión Nx Console para editores como Visual Studio ...