Un nouvel acteur dans la longue saga de malware à la banque brésilienne montre à nouveau que les techniques avancées ne sont plus confinées à des groupes sophistiqués: les chercheurs ont identifié TCLBANKER, une famille de chevaux de Troie qui, selon Elastic Security Labs, sont suivis comme REF3076 et qui est une évolution importante de l'ancien Maverick et de son composant ver SORVEPOTEL. Ce qui est pertinent, ce n'est pas seulement la capacité de voler des lettres d'identité ou de contrôler des machines à distance, mais la combinaison de l'évasion technique, des portes arrière de la persistance et d'un modèle de distribution qui exploite la confiance des communications légitimes..
Dans la pratique, l'attaque commence avec un installateur MSI emballé dans un ZIP et signé par un binaire Logitech légitime qui est abusé par Laminage latéral DLL. La DLL malveillante agit comme un chargeur avec un système de surveillance qui détecte les analyseurs, les bacs à sable et le débogage, élimine les crochets de sécurité sur ntdll.dll et désactive la télémétrie ETW pour rendre l'analyse médico-légale difficile. En outre, le code génère plusieurs "empreintes" de l'environnement - contrôles anti-virtualisation, information disque et configuration de la langue du système - qui servent à dériver des clés de déchiffrement de la charge utile seulement si la machine répond aux exigences, en particulier que la langue par défaut est le portugais du Brésil.
Le composant principal implémente des techniques déjà vues dans des campagnes plus matures: un cheval de Troie bancaire qui surveille les URL visibles dans le navigateur via UI Automation, définit des connexions WebSocket pour recevoir des commandes en temps réel et déploie des chevauchements en plein écran basés sur WPF pour supplanter les fenêtres légitimes et les identifiants de capture. Ces superpositions sont conçues pour muter les outils de capture d'écran et combiner des tactiques de visualisation et d'hameçonnage en temps réel, ce qui augmente le risque de fraude même face aux solutions antivirus traditionnelles.
En parallèle, le chargeur active un module de vers qui propage l'infection par deux vecteurs : sequestrates WhatsApp Web sessions pour envoyer des messages à des contacts sélectionnés (groupes de filtrage et nombres en dehors du Brésil et réutiliser des cadres tels que WPPConnect pour automatiser l'expédition) et abuse Microsoft Outlook installé sur la machine victime pour envoyer des courriels d'hameçonnage à partir de l'adresse légitime de l'utilisateur. Il en résulte une diffusion très efficace qui profite de la confiance dans les communications personnelles et organisationnelles.
Les implications sont claires: Les défenses basées exclusivement sur la réputation de l'expéditeur ou les signatures statiques ne sont plus suffisantes. Un message qui sort de la propre Outlook de la victime ou de sa session authentifiée WhatsApp peut échapper aux filtres et générer une vague d'infections entre des contacts de confiance. De plus, la pratique de « dating » par langue et environnement réduit la visibilité de la recherche mondiale et concentre les dommages sur des objectifs lucratifs, tels que les banques et les plateformes fintech au Brésil.
Pour les utilisateurs finaux, la recommandation immédiate est de faire preuve de prudence : ne pas exécuter MSI ou les installateurs reçus par courrier ou messagerie sans vérifier la source, fermer les sessions WhatsApp Web lorsqu'elles ne sont pas utilisées et activer la vérification en deux étapes si possible. Pour les organisations, la réponse devrait être multidimensionnelle: renforcer le contrôle des applications et permettre la liste, surveiller la création de tâches programmées et d'activités anormales de processus signées par des tiers qui chargent des librairies inhabituelles, et ajuster les règles EDR pour détecter les comportements offensants (désactivation ETW, gestion ntdll.dll, utilisation d'UI Automation pour lire les barres d'adresse, connexions persistantes de WebSocket à des domaines suspects).
De plus, il est essentiel de durcir l'environnement du courrier : appliquer une forte authentification (AMF) aux comptes, utiliser des politiques d'expédition restreinte et surveiller les modes d'expédition inhabituels à partir de comptes internes qui pourraient indiquer un abus par un spammeur local. La formation à la reconnaissance des surpositions et des signaux de combat augmente la résilience des utilisateurs aux faux écrans et messages qui simulent le support ou les mises à jour.
Les défenses collectives comptent également : les équipes de réponse et les SOC doivent partager des indicateurs et rechercher des signaux spécifiques tels que des processus appelés logiaipropptbuilder.exe, la présence de tâches programmées avec des noms inhabituels, des processus qui interagissent massivement avec l'interface utilisateur et le trafic WebSocket sortant vers des infrastructures nouvellement créées. Pour mieux comprendre les outils que ce malware réutilise, vous pouvez voir le projet WPPConnect dans GitHub https: / / github.com / wppconnect-team / wppconnect et pour comprendre comment vous pouvez abuser et atténuer la suppression de la télémétrie et du traçage dans Windows, il est approprié d'examiner la documentation de Event Tracing for Windows (ETW) dans Microsoft https: / / learn.microsoft.com / fr-us / windows / win32 / etw / about-event-tracing. Pour l'aspect humain de la tromperie, les ressources d'ingénierie sociale de l'OWASP sont utiles comme référence éducative https: / / owasp.org / www-community / Social _ Ingénierie.
Bref, TCLBANKER démontre la maturité et la commercialisation des capacités qui étaient auparavant distinctives des acteurs de haut niveau : cryptage conditionné par l'environnement, évasion avancée et modèle de diffusion monétisant la confiance interpersonnelle. La réponse doit combiner technologie, processus et éducation afin que la combinaison de sessions authentifiées, applications de messagerie et clients du courrier ne devienne pas le canal pour étendre la prochaine vague de fraude bancaire.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Mini Shai-Hulud : l'attaque qui a transformé les dépendances en vecteurs d'intrusion de masse
Résumé de l'incident : GitHub enquête sur l'accès non autorisé aux dépôts internes après que l'acteur connu sous le nom de TeamPCP ait mis le code source présumé et les organisa...
Alerte de sécurité: CVE-2026-45829 expose Chroma Exécution DB à code distant sans authentification
Une défaillance critique de l'API Python ChromaDB - la base vectorielle populaire utilisée pour la récupération pendant l'inférence LLM - permet aux attaquants non authentifiés ...
Trapdoor: l'opération anti-dumping qui a transformé les applications Android en une usine automatique de revenus illicites
Les chercheurs en cybersécurité ont découvert une opération de fraude au dumping et à la publicité mobile Piège, qui transforme les installations d'application Android légitimes...
Alerte de sécurité: vulnérabilités critiques dans SEPPMail pourrait vous permettre de lire des courriels et d'exécuter le code distant
Les chercheurs en sécurité ont détecté une chaîne de failles critique dans SEPPMail Secure E-Mail Gateway qui, ensemble, permettent de lire les courriels d'autres personnes à l'...
Nx Console in check: comment une extension de productivité est devenue un vol d'identité et une menace pour la chaîne d'approvisionnement
Une attaque dirigée contre les développeurs a de nouveau révélé la fragilité de la chaîne d'approvisionnement du logiciel : l'extension Nx Console pour les éditeurs tels que Vis...