Underc0de - La Casa de los Informáticos

Investigadores de ciberseguridad han descubierto un nuevo y sofisticado troyano bancario brasileño llamado TCLBANKER, capaz de atacar al menos 59 plataformas bancarias, fintech y servicios de criptomonedas. La amenaza representa una importante evolución dentro del ecosistema de malware financiero latinoamericano y demuestra cómo los grupos de ciberdelincuencia brasileños continúan perfeccionando sus técnicas de evasión, propagación y robo de credenciales.

La actividad está siendo rastreada por Elastic Security Labs bajo el nombre REF3076 y ha sido identificada como una actualización significativa de la conocida familia de malware Maverick, vinculada anteriormente al grupo de amenazas conocido como Water Saci.

Uno de los elementos más peligrosos de esta campaña es que TCLBANKER no solo roba información bancaria, sino que también secuestra sesiones activas de WhatsApp Web y Microsoft Outlook para propagarse masivamente utilizando las propias cuentas legítimas de las víctimas.

TCLBANKER evoluciona a partir del malware Maverick

Los investigadores consideran que TCLBANKER es una evolución directa de la familia Maverick, un malware previamente asociado con el gusano SORVEPOTEL, conocido por propagarse automáticamente mediante mensajes enviados a través de WhatsApp Web.

El nuevo malware incorpora técnicas mucho más avanzadas de evasión y control remoto, acercándose cada vez más a las capacidades observadas en amenazas utilizadas por grupos APT y operaciones de ciberespionaje sofisticadas.

La cadena de infección comienza mediante archivos ZIP maliciosos que contienen instaladores MSI manipulados. Estos paquetes abusan de un programa firmado legítimamente de Logitech llamado "Logi AI Prompt Builder".

Esta técnica permite a los atacantes aprovechar la confianza de software legítimo para ejecutar código malicioso mediante un ataque conocido como DLL sideloading.

Cómo funciona el ataque de TCLBANKER

El malware utiliza una DLL maliciosa llamada "screen_retriever_plugin.dll", la cual es cargada por el ejecutable legítimo "logiaipromptbuilder.exe".

La DLL actúa como un loader avanzado equipado con un completo subsistema antianálisis diseñado para detectar:

• Sandboxes
• Depuradores
• Herramientas de ingeniería inversa
• Desensambladores
• Plataformas de instrumentación
• Antivirus y soluciones EDR

El malware solo se ejecuta correctamente si detecta que fue iniciado por procesos específicos autorizados, dificultando enormemente el análisis por investigadores y herramientas automatizadas.

Además, TCLBANKER elimina hooks de seguridad presentes en "ntdll.dll", reemplaza bibliotecas críticas del sistema y desactiva la telemetría Event Tracing for Windows (ETW), una tecnología utilizada por Windows para monitoreo y detección de amenazas.

Comprobaciones avanzadas para evitar análisis y detección

Uno de los aspectos más sofisticados del malware es su sistema de validación ambiental.

TCLBANKER genera tres huellas digitales basadas en:

• Comprobaciones antidepuración y antivirtualización
• Información del disco del sistema
• Configuración regional e idioma del equipo

Posteriormente, utiliza estos datos para crear un hash ambiental que funciona como clave para descifrar la carga útil principal.

Esto significa que si el entorno parece sospechoso o utilizado para análisis, el malware no podrá descifrarse correctamente y simplemente dejará de ejecutarse.

Elastic explicó que incluso la presencia de un depurador altera el hash, provocando que la carga útil quede inutilizable y evitando así el análisis forense tradicional.

Además, el malware verifica específicamente que el idioma predeterminado del sistema sea portugués brasileño, confirmando que la campaña está claramente orientada a víctimas en Brasil.

Persistencia y comunicación con servidores remotos

Tras superar las comprobaciones iniciales, TCLBANKER instala persistencia mediante tareas programadas de Windows y establece comunicación con servidores externos utilizando solicitudes HTTP POST.

El malware envía información básica del sistema infectado y posteriormente habilita un sistema de comunicación interactivo mediante conexiones WebSocket.

Estas conexiones permiten a los operadores ejecutar comandos remotos en tiempo real y controlar completamente el dispositivo comprometido.

TCLBANKER monitorea navegadores y plataformas bancarias

Una de las funciones principales del malware consiste en monitorear constantemente la URL activa del navegador mediante automatización de la interfaz de usuario de Windows.

El objetivo es detectar cuándo la víctima accede a plataformas financieras específicas.

El malware monitorea navegadores populares como:

• Google Chrome
• Mozilla Firefox
• Microsoft Edge
• Brave
• Opera
• Vivaldi

Si detecta una URL correspondiente a alguna institución financiera objetivo, establece inmediatamente comunicación con el servidor remoto y habilita múltiples funciones ofensivas.

Capacidades avanzadas de espionaje y robo bancario

TCLBANKER incorpora un amplio conjunto de herramientas de control remoto y robo de información, incluyendo:

• Ejecución de comandos shell
• Capturas de pantalla
• Streaming de pantalla en tiempo real
• Keylogging
• Control remoto de mouse y teclado
• Administración de archivos y procesos
• Enumeración de procesos activos
• Listado de ventanas visibles
• Superposiciones falsas para robo de credenciales

El malware utiliza un framework basado en Windows Presentation Foundation (WPF) para mostrar pantallas fraudulentas extremadamente convincentes.

Estas superposiciones incluyen:

• Formularios falsos de inicio de sesión
• Pantallas de espera de soporte técnico
• Barras de progreso simuladas
• Actualizaciones falsas de Windows
• Mensajes de vishing e ingeniería social

Además, las superposiciones están diseñadas para ocultarse de herramientas de captura de pantalla, dificultando que las víctimas o investigadores documenten el fraude.

WhatsApp y Outlook son utilizados para propagar el malware

Uno de los elementos más innovadores y peligrosos de TCLBANKER es su capacidad de propagación automática utilizando plataformas legítimas.

El módulo worm integrado secuestra sesiones autenticadas de WhatsApp Web y cuentas de Microsoft Outlook para enviar mensajes maliciosos desde las propias cuentas de la víctima.

En WhatsApp, el malware utiliza el proyecto de código abierto WPPConnect para automatizar el envío masivo de mensajes de phishing a contactos legítimos.

El gusano filtra:

• Grupos
• Listas de difusión
• Números no brasileños

De esta manera maximiza la efectividad del ataque dentro del ecosistema brasileño.

En Outlook, el malware funciona como un spambot que utiliza la aplicación instalada en el equipo comprometido para enviar correos maliciosos desde la dirección legítima de la víctima.

Esto permite evadir filtros de spam y sistemas de reputación tradicionales, ya que los mensajes provienen de cuentas reales y confiables.

Según Elastic, el malware puede enviar mensajes a más de 3.000 contactos utilizando la propia infraestructura legítima de las víctimas.

TCLBANKER refleja la evolución del malware bancario brasileño

Los investigadores consideran que TCLBANKER representa una maduración importante dentro del ecosistema de malware financiero brasileño.

Técnicas avanzadas como:

• Descifrado ambiental
• Llamadas directas al sistema
• Comunicación en tiempo real vía WebSocket
• Ingeniería social automatizada
• Propagación mediante plataformas legítimas

ya no son exclusivas de actores altamente sofisticados, sino que están comenzando a formar parte del malware comercial criminal disponible para grupos de ciberdelincuencia.

Elastic advirtió que REF3076 aún parece encontrarse en fases operativas iniciales, con rastros de depuración y componentes incompletos presentes en el código. Esto indica que la amenaza podría continuar evolucionando y volverse aún más sofisticada en futuras campañas.

Cómo protegerse de TCLBANKER

Los expertos recomiendan implementar varias medidas de seguridad para reducir el riesgo de infección:

• No abrir archivos ZIP o MSI recibidos por mensajes o correos sospechosos
• Mantener actualizado Windows y el software de seguridad
• Utilizar soluciones EDR avanzadas
• Habilitar autenticación multifactor
• Supervisar sesiones activas de WhatsApp Web y Outlook
• Desconfiar de mensajes enviados incluso desde contactos conocidos
• Restringir privilegios administrativos en estaciones de trabajo

La capacidad de TCLBANKER para abusar de infraestructuras legítimas convierte esta amenaza en un desafío importante para las soluciones tradicionales de seguridad y demuestra cómo el malware bancario moderno continúa evolucionando hacia operaciones cada vez más complejas y difíciles de detectar.

Fuente: https://thehackernews.com/