Um novo malware se disfarça como software da Logitech, oculta a tela durante o ataque e se propaga pelos contatos da vítima por meio do WhatsApp e Outlook.
Pesquisadores da Elastic, uma empresa de segurança cibernética, descobriram um novo trojan bancário que ataca especificamente usuários no Brasil. Denominado TCLBANKER, o malware utiliza técnicas sofisticadas de evasão, engenharia social em tempo real e módulos que se espalham pelo WhatsApp e Outlook. A sua descoberta ocorreu em uma fase inicial de operação e acredita-se que seja vinculado a um grupo conhecido como REF3076.
A infecção começa com um arquivo ZIP que contém um instalador disfarçado de um programa legítimo da Logitech. Quando executado, o instalador ativa uma DLL maliciosa que se apresenta como um componente nativo do sistema, sendo chamada automaticamente pelo aplicativo ao ser iniciado.
Antes de qualquer ação, o TCLBANKER realiza diversas verificações para se certificar de que não está sendo analisado em laboratório. Ele examina a presença de ferramentas de segurança, mede o tempo de resposta do processador para detectar simulações e verifica se há pelo menos 64 GB livres no disco e mais de 2 GB de RAM disponível.
O TCLBANKER também verifica se a linguagem do sistema está configurada para português brasileiro e se a localização geográfica é o Brasil. Se algum desses testes falhar, o malware não executa nenhuma ação visível.
Guia de Motéis sofre vazamento de dados e expõe usuários; empresa confirma ataque
O trojan monitora sites abertos no navegador
Após ser instalado, o malware configura uma tarefa programada no Windows garantindo a execução automática em cada login. Em seguida, informa silenciosamente aos criminosos sobre a infecção, enviando dados do computador, como nome e versão do sistema.
O TCLBANKER monitora, a cada segundo, qual site a vítima está acessando. Ele possui uma lista interna com 59 domínios relacionados a bancos, fintechs e corretoras de criptomoedas brasileiras. Quando um desses sites é aberto, o malware conecta-se ao servidor dos criminosos e recebe comandos em tempo real.
Tela falsa cobre o monitor da vítima
Um dos recursos mais engenhosos do TCLBANKER é a capacidade de sobrepor a tela do computador com janelas falsas, que se mantêm à frente de qualquer outra janela e são invisíveis em capturas de tela ou gravações.
Isso proporciona ao criminoso visibilidade das ações da vítima enquanto esta não consegue produzir nenhuma evidência da tela falsa.
Falha grave no Linux permite acesso root a qualquer usuário
O sistema apresenta quatro interfaces diferentes para o golpe. Uma delas simula a tela de atualização do Windows, com um fundo azul e a mensagem “Trabalhando em atualizações”, enquanto a barra de progresso avança de maneira irregular, para parecer autêntica.
A segunda tela exibe uma mensagem de “Estamos entrando em contato”, utilizada enquanto um cúmplice contata a vítima se passando por um funcionário do banco, uma técnica conhecida como vishing.
Há também uma interface para coleta de credenciais com teclado virtual numérico, que rejeita sequências simples como “123456” ou “000000”, forçando a vítima a inserir dados verdadeiros.
A quarta opção simula etapas de um processo em andamento, com animações e contadores que se reinicializam, mantendo a atenção da vítima por até 15 minutos, permitindo ao criminoso controlar remotamente a máquina da vítima durante esse tempo.
Malware se espalha utilizando contas da vítima
Além de suas funções bancárias, o TCLBANKER contém um componente adicional para se propagar, infectando novos usuários através dos contatos da própria vítima.
Vírus bancário usa WhatsApp para roubar dados de brasileiros
O primeiro método utiliza o WhatsApp Web. O malware busca sessões ativas em navegadores e clona o perfil do usuário, abrindo uma janela oculta já autenticada, evitando a necessidade de escanear um QR Code.
Em seguida, ele envia mensagens aos contatos da vítima com um link para baixar o malware, disfarçado como um pedido de orçamento.
O segundo método envolve o uso do Microsoft Outlook, onde o malware acessa a conta de e-mail da vítima, coleta endereços de contatos e do histórico, e envia mensagens com o assunto “NFe disponível para impressão”.
O conteúdo do e-mail imita uma notificação fiscal legítima, contendo um botão que redireciona para o site do malware. Como as mensagens são enviadas a partir de contas reais, elas têm uma maior probabilidade de enganar os destinatários do que e-mails de endereços desconhecidos.
Após vazamento, Claude Code pode ser usado de graça
Operação em fase de preparação
Os pesquisadores notaram sinais de que a operação ainda era preliminar no momento da descoberta. O domínio de phishing apresentava uma página de manutenção, e arquivos de log de desenvolvimento ainda estavam presentes no código, enquanto uma das páginas de distribuição estava incompleta.
A infraestrutura para distribuição e controle está alocada em servidores da Cloudflare Workers, o que permite a rápida troca de endereços em caso de bloqueio. Os pesquisadores também identificaram outros domínios recém-registrados que aparentam estar em preparação para futuras ondas de ataque.
Esses incluem páginas que imitam serviços empresariais e plataformas de compartilhamento de documentos.
De acordo com a Elastic, o TCLBANKER representa um avanço no cenário de trojans bancários na América Latina, integrando técnicas que antes eram exclusivas de grupos mais sofisticados em uma ferramenta acessível a um público mais amplo.
Empresa brasileira teria sido usada em ataques DDoS contra provedores nacionais, diz site
A introdução de módulos de autopropagação representa uma importante mudança, já que os tradicionais sistemas de segurança de e-mail têm dificuldade em identificar mensagens provenientes de contas legítimas que foram comprometidas.
Fique por dentro das novidades em segurança e tecnologia seguindo a TecMania nas redes sociais, e inscreva-se em nossa newsletter e canal no YouTube para mais informações.
