TCLBANKER este un troian bancar de ultimă generație, identificat de Elastic Security Labs ca o evoluție majoră a familiilor MAVERICK/SORVEPOTEL. Malware-ul combină tehnici avansate de evitare, suprapuneri WPF pentru fraudă în timp real și două module de auto‑propagare: un vierme WhatsApp și un bot de email Outlook.
Acest articol analizează în detaliu modul de funcționare, vectorii de atac și infrastructura operațională a TCLBANKER, pe baza raportului tehnic publicat de Elastic.
Ce este TCLBANKER și cum se răspândește
Campania REF3076 folosește un instalator Logitech trojanizat pentru a încărca malware-ul prin DLL sideloading. Pachetul MSI malițios include un loader cu anti‑debugging, anti‑sandbox și verificări de mediu, care decriptează două payload-uri protejate cu .NET Reactor:
- troianul bancar propriu‑zis
- modulul worm pentru propagare prin WhatsApp și Outlook
Troianul monitorizează bara de adrese a browserului și vizează 59 de domenii bancare, fintech și crypto din Brazilia. La accesarea unui site monitorizat, inițiază o sesiune WebSocket C2.
Tehnici avansate de evitare și protecție
Loaderul TCLBANKER este unul dintre cele mai complexe analizate recent. Include:
1. Anti‑debugging și anti‑analiză
- 6 metode diferite de detectare a debuggerelor (flaguri PEB, DR0–DR3, RDTSC, QueryPerformanceCounter etc.)
- detectarea hook‑urilor în funcții Windows critice
- patching pentru EtwEventWrite pentru a dezactiva telemetria ETW
- patching pentru DbgUiRemoteBreakin pentru a bloca break‑in‑urile externe
2. Anti‑sandbox
- verificarea timpului real de execuție al funcției Sleep (dacă trec <450 ms, malware-ul se oprește)
3. Verificări hardware și VM
- detectarea VMware, VirtualBox, KVM, Xen, Hyper-V, QEMU/TCG etc.
- verificarea spațiului pe disc, RAM, număr procesoare
4. Geofencing
Troianul rulează doar dacă sistemul este configurat pentru Brazilia:
- GeoID 0x20
- LCID 1046 (pt-BR)
- fus orar specific
- layout tastatură braziliană
Funcționalitățile troianului bancar (Tcl.Agent)
Troianul bancar este protejat cu .NET Reactor și include:
Monitorizare URL în timp real
La fiecare secundă, malware-ul citește bara de adrese a browserului prin UI Automation și verifică dacă domeniul este în lista celor 59 de ținte.
Inițierea sesiunii C2
Dacă victima accesează un site bancar, TCLBANKER:
- stabilește o conexiune WebSocket către serverul C2
- trimite date despre sistem, utilizator și banca accesată
- activează un „Task Manager killer” care rulează la 500 ms pentru a împiedica închiderea procesului
Control complet asupra sistemului
Operatorul poate:
- captura ecranul sau transmite live stream
- executa comenzi shell
- manipula ferestre
- înregistra tastatura
- modifica clipboard-ul
- controla mouse-ul prin overlay-uri
Suprapuneri WPF pentru fraudă (social engineering)
Aceasta este cea mai avansată componentă a TCLBANKER.
1. Ferestre full-screen imposibil de închis
Malware-ul creează câte o fereastră WPF pe fiecare monitor, borderless, topmost și ascunsă din taskbar. Victima nu le poate închide.
2. Anti‑captură
Overlay-urile sunt invizibile în capturile de ecran datorită WDA_EXCLUDEFROMCAPTURE.
3. Tipuri de suprapuneri
- Prompt de credențiale (PIN, telefon, tastatură virtuală) cu validare anti‑„fake input” (respinge 000000, 123456 etc.)
- Ecran de vishing: „Estamos entrando em contato” – operatorul sună victima în timp real
- Ecran fals de Windows Update cu progres falsificat pentru a bloca utilizatorul 15–20 min
- Cutout overlay: expune doar o zonă a ecranului pentru a ghida victima în acțiuni reale (ex: aprobări bancare)
Modulul Worm: WhatsApp și Outlook
WhatsApp Worm
Viermele caută profiluri de browser cu sesiuni WhatsApp Web active (IndexedDB). Dacă găsește una:
- clonează profilul
- pornește un browser headless cu Selenium
- injectează scripturi pentru a evita detecția (ascunde navigator.webdriver etc.)
- trimite mesaje în masă către contacte braziliene cu link către malware
Outlook Bot
Folosește COM automation pentru a trimite emailuri de phishing direct din contul victimei.
Infrastructura C2 pe Cloudflare Workers
Întreaga infrastructură — C2, CDN, API — este găzduită pe Cloudflare Workers sub un singur cont. Include:
- endpoint pentru campanii
- endpoint pentru payload-uri
- WebSocket C2
- pagini de phishing în dezvoltare (artefacte de test)
Această arhitectură permite operatorilor să schimbe rapid infrastructura fără servere dedicate.
Persistență și auto‑update
TCLBANKER se instalează în %LocalAppData%\LogiAI, creează un scheduled task ascuns și trimite un beacon inițial către serverul C2.
Are un sistem de auto‑update bazat pe hash:
- verifică versiunea locală
- descarcă un MSI nou dacă există o versiune mai recentă
- rulează instalarea printr-un script auto‑ștergător
Concluzie
TCLBANKER reprezintă o nouă generație de troieni bancari latino‑americani, combinând:
- tehnici avansate anti‑analiză
- suprapuneri WPF pentru fraudă în timp real
- propagare prin WhatsApp și Outlook
- infrastructură cloud flexibilă
- geofencing strict pentru Brazilia
Este un exemplu de malware modern orientat pe inginerie socială + control remote complet, depășind modelul clasic de furt de credențiale.
