Um novo trojan bancário brasileiro, identificado como TCLBANKER, foi descoberto por pesquisadores da Elastic Security Labs em uma campanha capaz de atingir 59 plataformas financeiras, incluindo bancos, fintechs e serviços de criptomoedas. A atividade está sendo rastreada sob o nome REF3076 e, segundo a análise, representa uma grande atualização da família Maverick, conhecida por utilizar o worm SORVEPOTEL para se espalhar pelo WhatsApp Web entre contatos das vítimas. A campanha anterior associada ao Maverick já havia sido atribuída pela Trend Micro ao grupo Water Saci.

A nova operação chama atenção por combinar um trojan bancário completo com mecanismos de propagação automatizada via WhatsApp e Microsoft Outlook. Na prática, os invasores abusam de contas legítimas das próprias vítimas para enviar mensagens e e-mails maliciosos a contatos conhecidos, aumentando a chance de confiança e dificultando a detecção por filtros tradicionais de reputação e gateways de e-mail.

De acordo com os pesquisadores Jia Yu Chan, Daniel Stepanic, Seth Goodwin e Terrance DeJesus, a cadeia de infecção observada começa com um arquivo ZIP contendo um instalador MSI malicioso. Esse instalador abusa de um programa legítimo e assinado da Logitech, chamado Logi AI Prompt Builder, para executar a ameaça por meio de uma técnica conhecida como DLL side-loading. Essa abordagem permite que um arquivo malicioso seja carregado por um software confiável, reduzindo suspeitas durante a execução.

O componente malicioso, identificado como “screen_retriever_plugin.dll”, atua como loader e possui recursos avançados contra análise. Ele verifica continuamente a presença de ferramentas de depuração, sandboxes, disassemblers, soluções antivírus, ferramentas de instrumentação e outros mecanismos usados por pesquisadores e produtos de segurança. O objetivo é impedir que o malware seja estudado ou executado em ambientes controlados.

A DLL só continua sua execução se for carregada pelo “logiaipromptbuilder.exe”, o programa legítimo da Logitech, ou pelo “tclloader.exe”, que parece ser um executável usado em testes. O malware também remove hooks em modo de usuário inseridos por soluções de segurança na biblioteca “ntdll.dll” e desativa a telemetria do Event Tracing for Windows, conhecido como ETW, reduzindo a visibilidade das ferramentas de monitoramento.

Outro ponto relevante é o uso de três impressões digitais do ambiente infectado. O TCLBANKER realiza checagens anti-debugging e anti-virtualização, coleta informações do disco do sistema e verifica o idioma configurado no dispositivo. Esses dados são usados para gerar um hash do ambiente, necessário para descriptografar o payload embutido. Caso um depurador esteja presente, por exemplo, o hash gerado será incorreto, impedindo a descriptografia correta do malware e interrompendo sua execução.

A verificação de idioma também restringe a operação a sistemas configurados em português do Brasil, indicando foco claro no mercado brasileiro. Após passar por essas validações, o componente principal do trojan bancário confirma novamente se está sendo executado em um ambiente brasileiro e cria persistência por meio de uma tarefa agendada no Windows. Em seguida, ele se comunica com um servidor externo via requisição HTTP POST, enviando informações básicas do sistema comprometido.

O TCLBANKER possui ainda um mecanismo de autoatualização e um monitor de URLs capaz de extrair o endereço acessado no navegador em primeiro plano usando UI Automation. A técnica permite acompanhar a navegação da vítima em navegadores populares, como Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera e Vivaldi.

Quando a URL acessada corresponde a uma instituição financeira presente em uma lista codificada no malware, o trojan estabelece uma conexão WebSocket com um servidor remoto e entra em um ciclo de recebimento de comandos. A partir daí, os operadores podem executar comandos no sistema, capturar telas, iniciar ou interromper streaming da tela, manipular a área de transferência, ativar keylogger, controlar mouse e teclado remotamente, gerenciar arquivos e processos, enumerar processos em execução, listar janelas visíveis e exibir sobreposições falsas para roubo de credenciais.

Para conduzir o roubo de dados, o TCLBANKER usa uma estrutura de sobreposição em tela cheia baseada em Windows Presentation Foundation, tecnologia conhecida como WPF. Essas telas falsas são usadas em ações de engenharia social, incluindo prompts para coleta de credenciais, telas de espera associadas a vishing, barras de progresso falsas e falsas atualizações do Windows. O malware também tenta ocultar essas sobreposições de ferramentas de captura de tela, dificultando a análise e a resposta ao incidente.

Além do roubo direto de credenciais e do controle remoto, a campanha inclui um módulo de propagação em larga escala. O loader aciona um componente de worm que explora duas frentes: um worm para WhatsApp Web, capaz de sequestrar sessões autenticadas no navegador, e um bot de e-mail que abusa do Microsoft Outlook instalado no computador da vítima para enviar mensagens de phishing a partir da conta legítima comprometida.

No caso do WhatsApp, a abordagem lembra a usada pelo SORVEPOTEL. O worm obtém um modelo de mensagem a partir do servidor dos invasores e usa o projeto open source WPPConnect para automatizar o envio de mensagens. O componente também filtra grupos, listas de transmissão e números que não sejam brasileiros, reforçando o foco geográfico da campanha.

Já o agente de Outlook funciona como um spambot. Ele utiliza o próprio aplicativo Microsoft Outlook instalado no dispositivo para enviar e-mails falsos a partir do endereço da vítima. Essa técnica aumenta a credibilidade da mensagem, já que o conteúdo chega a partir de uma conta conhecida, e pode contornar defesas baseadas em reputação de remetente ou infraestrutura.

Segundo um porta-voz da Elastic ouvido pelo The Hacker News, o TCLBANKER pode sequestrar sessões do WhatsApp e contas do Outlook para enviar o instalador trojanizado a até 3 mil contatos. A distribuição ocorre por contas legítimas, contatos reais e infraestrutura confiável, o que reduz a eficácia de defesas tradicionais baseadas apenas em reputação.

A análise também indica que a operação REF3076 ainda pode estar em estágio inicial. Os pesquisadores encontraram caminhos de debug, nomes de processos usados em testes e um site de phishing incompleto no código. Esses sinais sugerem que a campanha ainda está em desenvolvimento e pode ganhar novos recursos ou ajustes operacionais com o tempo.

Para a Elastic, o TCLBANKER reflete um amadurecimento mais amplo no ecossistema brasileiro de trojans bancários. Técnicas antes associadas a invasores mais sofisticados, como descriptografia condicionada ao ambiente, geração direta de syscalls, orquestração de engenharia social em tempo real via WebSocket e abuso de canais legítimos de comunicação, estão sendo incorporadas a ferramentas de cibercrime mais acessíveis.

O caso também mostra uma mudança relevante no modelo de distribuição de malware bancário. Em vez de depender apenas de domínios suspeitos, campanhas massivas de spam ou anexos enviados por remetentes desconhecidos, os operadores do TCLBANKER exploram a confiança já existente entre vítima e contatos. Isso torna o ataque mais difícil de identificar, especialmente em ambientes onde WhatsApp e Outlook são usados diariamente para comunicação pessoal e profissional.