Um novo ator na longa saga de malware dirigido à banca brasileira volta a demonstrar que as técnicas avançadas já não estão confinadas a grupos sofisticados: pesquisadores identificaram TCLBANKER, uma família de troianos que, segundo Elastic Security Labs, está sendo seguida como REF3076 e que constitui uma evolução importante do velho Maverick e seu componente verme SORVEPOTEL. O relevante não é apenas a capacidade de roubar credenciais ou controlar máquinas remotas, mas a combinação de evasão técnica, portas traseiras de persistência e um modelo de distribuição que explora a confiança das comunicações legítimas.
Na prática, o ataque começa com um instalador MSI empacotado em um ZIP e assinado por um binário legítimo da Logitech que é abusado através de DLL side‐loading. O DLL malicioso atua como um carregador com um sistema de vigilância que detecta analisadores, sandboxes e depuradores, remove hooks de segurança no ntdll.dll e desactiva a telemetria ETW para dificultar a análise forense. Além disso, o código gera várias "huellas" do ambiente —controles anti-virtualização, informação do disco e configuração de idioma do sistema — que servem para derivar chaves de decifração do payload apenas se a máquina cumpre os requisitos, em particular que a língua por defeito seja português do Brasil.
O componente principal implementa técnicas já vistas em campanhas mais maduras: um troiano bancário que monitora os URLs visíveis no navegador através de UI Automation, estabelece conexões WebSocket para receber comandos em tempo real e exibe superposições em tela completa baseadas em WPF para suplantar janelas legítimas e capturar credenciais. Estas superposições são desenhadas para burlar ferramentas de captura de tela e combinar táticas de vishing e phishing em tempo real, o que aumenta o risco de fraude mesmo diante de soluções antivírus tradicionais.
Paralelamente, o carregador ativa um módulo minhoca que propaga a infecção através de dois vetores: sequestro de sessões do WhatsApp Web para enviar mensagens para contatos selecionados (filtrando grupos e números fora do Brasil e reutilizando frameworks como WPPConnect para automatizar o envio) e abusa do Microsoft Outlook instalado na máquina vítima para enviar e-mails de phishing a partir do endereço legítimo do usuário. O resultado é uma difusão altamente eficaz que aproveita a confiança nas comunicações pessoais e corporativas.
As implicações são claras: As defesas exclusivamente baseadas em reputação de remetente ou em assinaturas estáticas já não são suficientes. Uma mensagem que sai do próprio Outlook da vítima ou desde sua sessão autenticada do WhatsApp pode contornar filtros e gerar uma onda de infecções entre contatos de confiança. Além disso, a prática de “gating” por idioma e ambiente reduz a visibilidade em pesquisas globais e concentra os danos em objetivos lucrativos, como bancos e plataformas fintech brasileiras.
Para usuários finais, a recomendação imediata é exercer cautela: não executar MSI ou instaladores recebidos por correio ou mensagens sem verificar a proveniência, fechar sessões do WhatsApp Web quando não forem usadas e ativar a verificação em dois passos onde for possível. Para organizações, a resposta deve ser multidimensional: reforçar o controle de aplicativos e allowlisting, monitorar a criação de tarefas agendadas e atividades anormais de processos assinados por terceiros que carregam livrarias invulgares, e ajustar as regras de EDR para detectar comportamento ofensivo (desativação de ETW, manipulação do ntdll.dll, uso de UI Automation para ler barras de endereço, conexões WebSocket persistentes para domínios suspeitos).
Além disso, é crítico endurecer o ambiente de e-mail: aplicar autenticação forte (MFA) a contas, usar políticas de envio restrito e monitorar padrões de envio incomuns desde contas internas que poderiam indicar abuso por um spambot local. A capacitação em reconhecimento de superposições e sinais de vishing aumenta a resiliência do usuário contra telas falsas e mensagens que simulam suporte ou atualizações.
As defesas coletivas também importam: equipes de resposta e SOCs devem compartilhar indicadores e buscar sinais específicos como processos chamados logiaipromptbuilder.exe, a presença de tarefas agendadas com nomes incomuns, processos que interagem massivamente com a interface de usuário e tráfego WebSocket saliente a infraestruturas recém criadas. Para entender melhor as ferramentas que este malware reutiliza, você pode consultar o projeto WPPConnect no GitHub https://github.com/wppconnect-team/wppconnect, e para compreender como se pode abusar e mitigar a eliminação de telemetria e tracing no Windows, convém rever a documentação de Event Tracing for Windows (ETW) na Microsoft https://learn.microsoft.com/en-us/windows/win32/etw/about-event-tracing. Para o aspecto humano do engano, os recursos sobre engenharia social de OWASP são úteis como referência educativa https://owasp.org/www-community/Social_Engineering.
Em suma, a TCLBANKER evidencia a maturidade e a comercialização de capacidades que antes eram distintivas de atores de maior nível: criptografia condicionado ao ambiente, evasão avançada e um modelo de propagação que monetiza a confiança interpessoal. A resposta deve combinar tecnologia, processos e educação para que a combinação de sessões autenticadas, aplicativos de mensagens e clientes de e-mail não se torne o canal para expandir a próxima onda de fraude bancária.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Mini Shai-Hulud: o ataque que transformou as dependências em vetores de intrusão maciça
Resumo do incidente: O GitHub investiga acesso não autorizado a repositórios internos depois de o ator conhecido como TeamPCP ter colocado a venda em um fórum criminoso o supost...
Alerta de segurança: CVE-2026-45829 expõe ChromaDB a execução remota de código sem autenticação
Uma falha crítica na API Python de ChromaDB - a popular base de vetores usada para recuperação durante a inferência de LLM - permite a atacantes não autenticados executar código...
Trapdoor: a operação de malvertising que transformou apps Android em uma fábrica automática de receitas ilegais
Pesquisadores de cibersegurança descobriram uma operação de malvertising e fraude publicitária móvel batizada como Trapdoor, que converte instalações legítimas de aplicações And...
Alerta de segurança: vulnerabilidades críticas no SEPPMail podem permitir ler e-mails e executar código remoto
Pesquisadores de segurança detectaram uma cadeia de erros críticos no SEPPMail Secure E-Mail Gateway que, em conjunto, permitem desde a leitura de e-mails alheios à execução rem...
Nx Console em jaque: como uma extensão de produtividade se tornou um roubo de credenciais e uma ameaça para a cadeia de abastecimento
Um ataque dirigido a desenvolvedores voltou a evidenciar a fragilidade da cadeia de fornecimento do software: a extensão Nx Console para editores como Visual Studio Code, com ma...