TCLBANKER, troianul bancar care transformă WhatsApp și Outlook în arme de fraudă financiară

Un nou troian bancar, numit TCLBANKER, arată cât de mult s-au schimbat atacurile informatice orientate spre bani. Nu mai este vorba doar despre un fișier suspect trimis prin e-mail sau despre o pagină falsă care copiază site-ul unei bănci. În acest caz, malware-ul folosește conturile reale ale victimelor pentru a se răspândi mai departe, prin WhatsApp Web și Microsoft Outlook, profitând de încrederea pe care oamenii o au în mesajele venite de la contacte cunoscute.

Descoperit de Elastic Security Labs și urmărit sub numele REF3076, TCLBANKER vizează 59 de platforme bancare, fintech și cripto. Cercetătorii îl descriu ca pe o evoluție importantă a familiei Maverick, asociată anterior cu atacuri în Brazilia și cu un mecanism de propagare prin WhatsApp. Noua variantă este însă mai complexă, mai greu de analizat și construită pentru a combina furtul de date financiare cu răspândirea automată la scară mare.

Cum ajunge malware-ul pe calculator

Lanțul de infectare începe cu un fișier ZIP care conține un installer MSI malițios. La prima vedere, acesta pare să folosească un program legitim semnat de Logitech, Logi AI Prompt Builder, dar atacatorii abuzează de mecanismul de încărcare a bibliotecilor DLL pentru a porni un fișier periculos numit „screen_retriever_plugin.dll”. Practic, un element aparent de încredere devine poarta prin care este lansat troianul.

Componenta malițioasă nu pornește oricum. TCLBANKER include verificări avansate împotriva analizelor de securitate, sandbox-urilor, debuggerelor și instrumentelor antivirus. Malware-ul verifică inclusiv limba sistemului, iar una dintre condițiile importante este ca dispozitivul să pară folosit într-un mediu brazilian. Dacă detectează că este analizat într-un laborator sau într-o mașină virtuală, procesul de decriptare a codului eșuează și troianul se oprește.

Vezi și:

7 semne că un anunț de cazare de pe Booking ar putea fi fals. Ce trebuie să verifici înainte să plătești

După ce trece de aceste verificări, malware-ul își creează persistență printr-o sarcină programată în Windows și trimite informații despre sistem către un server extern. Apoi începe partea cu adevărat periculoasă: urmărește ce site-uri sunt deschise în browser și caută potriviri cu lista de instituții financiare vizate. Sunt monitorizate browsere populare precum Chrome, Firefox, Edge, Brave, Opera și Vivaldi.

De ce WhatsApp și Outlook schimbă regulile jocului

Partea care face TCLBANKER deosebit de periculos este modul de răspândire. Malware-ul include un modul de tip worm pentru WhatsApp Web, capabil să folosească sesiunea deja autentificată a victimei pentru a trimite mesaje către alte persoane. Nu este un mesaj trimis de un cont necunoscut, ci unul care pare să vină chiar de la un prieten, coleg sau membru al familiei.

În paralel, troianul abuzează de aplicația Microsoft Outlook instalată pe calculator pentru a trimite e-mailuri de phishing din adresa reală a victimei. Potrivit Elastic, mecanismul poate trimite installerul infectat către până la 3.000 de contacte, folosind infrastructură legitimă și o identitate care inspiră încredere. Asta face ca filtrele antispam și sistemele bazate pe reputația expeditorului să fie mult mai ușor de ocolit.

Vezi și:

Microsoft amână lansarea completă a noului Outlook pentru companii: migrarea totală se mută în 2027

După compromiterea sistemului, TCLBANKER poate primi comenzi de la distanță prin WebSocket. Operatorii pot captura ecranul, porni sau opri streamingul ecranului, controla mouse-ul și tastatura, gestiona fișiere, lansa un keylogger, manipula clipboardul sau afișa ferestre false pentru furtul datelor de autentificare.

Cum fură datele bancare

Troianul folosește suprapuneri grafice full-screen construite cu Windows Presentation Foundation. Acestea pot imita ferestre de progres, actualizări Windows, mesaje de așteptare sau formulare false pentru date bancare. Scopul este simplu: victima trebuie să creadă că interacționează cu o etapă normală a aplicației sau site-ului financiar, în timp ce atacatorii colectează informații sensibile.

Această abordare este eficientă pentru că nu se bazează doar pe furt tehnic, ci și pe manipulare. Utilizatorul vede o interfață aparent legitimă, iar în fundal operatorii pot urmări sesiunea, pot controla sistemul și pot decide ce mesaj fals apare în funcție de pagina accesată.

Campania pare încă într-o fază timpurie, cu urme de testare și elemente incomplete în cod. Totuși, direcția este clară: instrumente care altădată păreau rezervate grupărilor sofisticate ajung acum în zona criminalității informatice comerciale. Ca să reduci riscul, nu rula installere primite prin WhatsApp sau e-mail, chiar dacă vin de la persoane cunoscute. Verifică printr-un alt canal înainte să deschizi arhive ZIP, actualizează sistemul și tratează orice cerere de instalare rapidă ca pe un semnal de alarmă.

Cum faci un cocktail clasic cu whiskey de secară și cognac – Vieux Carré spune o poveste de aproape 90 de ani