Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil TCLBANKER Troyano bancario

TCLBANKER Troyano bancario

Por Mezo en Malware móvil, Troyano bancario
Traducir a:

Investigadores de ciberseguridad han descubierto un troyano bancario brasileño hasta ahora desconocido, conocido como TCLBANKER, una variante de malware muy avanzada diseñada para atacar 59 plataformas bancarias, fintech y de criptomonedas. La campaña se rastrea actualmente bajo el nombre REF3076 y se cree que representa una evolución significativa de la notoria familia de malware Maverick, anteriormente asociada con el grupo de amenazas Water Saci.

TCLBANKER amplía los métodos de ataque anteriores mediante la integración de mecanismos avanzados anti-análisis, la entrega de carga útil centrada en el sigilo y capacidades de propagación a gran escala a través de plataformas de comunicación comprometidas.

Una cadena de infección sigilosa diseñada para la evasión.

El ataque comienza con un archivo ZIP malicioso que contiene un instalador MSI que aprovecha una aplicación de Logitech firmada legítimamente llamada Logi AI Prompt Builder. Mediante la carga lateral de DLL, el malware obliga a la aplicación de confianza a cargar una biblioteca maliciosa llamada 'screen_retriever_plugin.dll', que actúa como cargador principal.

Este cargador incorpora un extenso subsistema de vigilancia diseñado específicamente para evadir la detección. Escanea continuamente entornos de seguridad y análisis, incluyendo depuradores, antivirus, desensambladores, entornos aislados (sandboxes) y herramientas de instrumentación. La ejecución solo se inicia cuando la DLL es ejecutada por procesos autorizados como 'logiaipromptbuilder.exe' o 'tclloader.exe', este último probablemente vinculado a pruebas internas.

Para evitar aún más la monitorización de seguridad, el malware elimina los ganchos de modo de usuario colocados en 'ntdll.dll' por las soluciones de protección de endpoints y desactiva la telemetría de Seguimiento de eventos para Windows (ETW). Además, crea múltiples huellas digitales del sistema basadas en comprobaciones anti-depuración, detección de virtualización, información del disco y configuración de idioma del sistema operativo. Estas huellas digitales generan un hash de entorno que se utiliza para descifrar la carga útil incrustada.

El malware verifica específicamente si el sistema objetivo utiliza portugués brasileño. Cualquier intento de depuración o análisis genera un valor hash incorrecto, lo que impide el descifrado correcto de la carga útil y detiene la ejecución por completo.

Capacidades de troyano bancario diseñadas para el control total del sistema.

Una vez completadas las comprobaciones anti-análisis, se despliega el troyano bancario principal. Tras confirmar que el sistema pertenece a un usuario brasileño, el malware establece persistencia mediante tareas programadas y se comunica con un servidor externo de comando y control mediante solicitudes HTTP POST que contienen información del sistema.

TCLBANKER incluye una función de autoactualización y monitoriza activamente la actividad del navegador extrayendo las URL de la barra de direcciones del navegador en primer plano mediante técnicas de automatización de la interfaz de usuario. El malware ataca a navegadores de uso común, entre ellos:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Corajudo
  • Ópera
  • Vivaldi

Cuando se detecta un sitio web bancario o de criptomonedas bajo vigilancia, TCLBANKER abre una conexión WebSocket con un servidor remoto e inicia un bucle de ejecución de comandos. Esto permite a los atacantes realizar de forma remota una amplia gama de actividades maliciosas, como reconocimiento del sistema, manipulación del portapapeles, registro de pulsaciones de teclas, captura de pantalla, transmisión de pantalla, control remoto del ratón y el teclado, gestión de procesos e implementación de superposiciones falsas para la obtención de credenciales.

Ingeniería social avanzada y robo de credenciales

TCLBANKER se basa en gran medida en la ingeniería social para robar información confidencial. Este malware utiliza una superposición de pantalla completa basada en Windows Presentation Foundation (WPF) capaz de mostrar interfaces de phishing muy convincentes. Estas superposiciones imitan mensajes bancarios legítimos, actualizaciones falsas de Windows, barras de progreso y pantallas de espera de phishing por voz, diseñadas para manipular a las víctimas y lograr que revelen sus credenciales.

Cabe destacar que las superposiciones están ocultas para las utilidades de captura de pantalla, lo que dificulta considerablemente su detección y análisis forense.

WhatsApp y Outlook se convirtieron en herramientas de distribución de malware.

Además del troyano bancario, el cargador despliega un componente de gusano responsable de propagar la infección a gran escala a través de WhatsApp Web y Microsoft Outlook. El módulo de WhatsApp secuestra sesiones de navegador autenticadas y utiliza el proyecto de código abierto WPPConnect para automatizar el envío de mensajes a los contactos de las víctimas. Para mejorar la eficacia de la segmentación, el malware filtra los chats grupales, las listas de difusión y los números de teléfono que no sean de Brasil.

El componente de Outlook funciona como un bot de phishing, aprovechándose de la aplicación Microsoft Outlook instalada en la víctima para distribuir correos electrónicos maliciosos directamente desde su propia dirección. Dado que estos mensajes provienen de cuentas legítimas e infraestructura de confianza, los filtros de spam tradicionales y los sistemas de seguridad basados en la reputación tienen dificultades para detectar la actividad maliciosa.

Según se informa, el malware puede enviar spam a hasta 3.000 contactos utilizando sesiones de WhatsApp y cuentas de Outlook comprometidas, lo que aumenta drásticamente el alcance de la campaña al tiempo que explota las relaciones de confianza existentes entre las víctimas y sus contactos.

Señales de un panorama de amenazas en expansión

Los investigadores creen que REF3076 aún se encuentra en sus primeras etapas operativas. Evidencias como las rutas de registro de depuración, la infraestructura de phishing incompleta y los nombres de los procesos de prueba sugieren que los operadores continúan perfeccionando y expandiendo la campaña.

TCLBANKER también destaca la rápida evolución que se está produciendo en el ecosistema brasileño de malware bancario. Técnicas que antes se asociaban únicamente con ciberdelincuentes altamente sofisticados ahora aparecen en operaciones de ciberdelincuencia comunes. Estas capacidades incluyen:

  • Descifrado de carga útil basado en el entorno
  • Generación directa de llamadas al sistema
  • Ingeniería social en tiempo real basada en WebSocket
  • Propagación de mensajes de confianza a través de plataformas de comunicación secuestradas

Al aprovecharse de sesiones legítimas de WhatsApp y Outlook, TCLBANKER elude eficazmente muchas de las defensas de seguridad convencionales. Esta campaña demuestra cómo los troyanos bancarios modernos combinan cada vez más técnicas avanzadas de sigilo, automatización e ingeniería social para crear operaciones ciberdelictivas altamente resistentes y escalables.

Tendencias

Nueva versión de la estafa por correo electrónico de...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que exigen una acción urgente siempre deben tratarse con precaución, especialmente si implican la verificación de la cuenta, actualizaciones de seguridad o la suspensión de servicios. Los ciberdelincuentes suelen aprovecharse del miedo y la urgencia para manipular a los destinatarios y obtener información confidencial. La campaña de correo electrónico «Nueva...

Estafa de correo electrónico sobre almacenamiento...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que afirman que una cuenta está en riesgo o requiere acción urgente siempre deben tratarse con precaución. Los ciberdelincuentes suelen suplantar la identidad de marcas y servicios en línea de confianza para manipular a los destinatarios y lograr que hagan clic en enlaces maliciosos, revelen información confidencial o descarguen archivos dañinos. Los correos...

Mas Visto

Cargando...