TCLBANKER combina carregador com evasão, sobreposições falsas, monitoramento de URLs bancárias e distribuição por contas legítimas de WhatsApp Web e Microsoft Outlook.
| Componente | Trojan bancário TCLBANKER, carregador screen_retriever_plugin.dll e módulo de propagação por WhatsApp Web e Microsoft Outlook. |
| Vetor | Arquivo ZIP com instalador MSI malicioso que abusa do programa assinado Logi AI Prompt Builder para carregar uma DLL por side-loading. |
| Impacto | Roubo de credenciais e interação fraudulenta contra 59 plataformas bancárias, fintechs e serviços de criptomoedas, com distribuição para contatos da própria vítima. |
| Prioridade | Investigar execuções anômalas de logiaipromptbuilder.exe, presença de screen_retriever_plugin.dll, tarefas agendadas suspeitas, automação de WhatsApp Web e envio incomum pelo Outlook. |
| Artefatos | logiaipromptbuilder.exe, tclloader.exe, screen_retriever_plugin.dll, ntdll.dll, ETW, UI Automation, WPPConnect, WebSocket e requisições HTTP POST. |
| Mitigação | Bloquear instaladores MSI não autorizados, restringir side-loading em diretórios graváveis, revisar sessões de WhatsApp Web, auditar Outlook local e remover persistência por tarefa agendada. |
TCLBANKER é um trojan bancário brasileiro associado à atividade REF3076 e avaliado como uma evolução relevante da família Maverick, que já utilizava o worm SORVEPOTEL para disseminação por WhatsApp Web. A nova cadeia amplia esse modelo ao acoplar um carregador com evasão, um implante bancário com monitoramento de navegação e um componente de propagação que usa tanto sessões autenticadas de WhatsApp quanto o cliente Microsoft Outlook instalado no endpoint. O alvo operacional é financeiro: a configuração observada contém 59 bancos, fintechs e plataformas de criptomoedas, com lógica para reagir quando a vítima acessa URLs correspondentes a esses serviços.
A infecção começa com um ZIP que embute um MSI malicioso. O instalador usa abuso de DLL side-loading contra o programa assinado Logi AI Prompt Builder, da Logitech, para executar screen_retriever_plugin.dll. Essa DLL atua como carregador e só continua quando o processo hospedeiro corresponde a logiaipromptbuilder.exe ou tclloader.exe, o que reduz execução acidental fora do fluxo previsto e dificulta análise automatizada. Após validar o ambiente, o carregador deriva um valor de hash a partir de verificações anti-debugging, anti-virtualização, informações de disco e idioma do sistema; esse valor é usado na descriptografia dos payloads internos. Se o ambiente estiver instrumentado ou não corresponder ao perfil esperado, a descriptografia falha e a cadeia não avança.
O carregador de TCLBANKER executa uma sequência de autodefesa antes de liberar o trojan bancário. Ele procura ferramentas de análise, depuradores, disassemblers, sandboxes, instrumentação e produtos de segurança. Também tenta remover hooks de modo usuário aplicados por soluções de endpoint em ntdll.dll, substituindo a biblioteca em memória, e desativa telemetria de Event Tracing for Windows para reduzir visibilidade sobre chamadas e comportamento do processo. O teste de idioma exige português brasileiro como idioma padrão do usuário, o que funciona como delimitação geográfica e operacional. Esse gate reduz ruído para o operador e evita exposição desnecessária em ambientes fora do alvo principal.
Depois da descriptografia bem-sucedida, o componente bancário valida novamente se está em um sistema brasileiro e cria persistência por tarefa agendada. Em seguida, envia uma requisição HTTP POST a um servidor externo com informações básicas do sistema comprometido. O implante mantém mecanismo de atualização própria e passa a monitorar a URL ativa nos navegadores por meio de UI Automation, extraindo o endereço da barra do navegador em primeiro plano. A técnica foi preparada para navegadores amplamente usados, incluindo Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera e Vivaldi. Quando a URL corresponde à lista de instituições financeiras codificada no malware, o implante estabelece uma conexão WebSocket com infraestrutura remota e entra em um loop de comandos.
A camada de fraude usa uma estrutura de sobreposição em tela cheia baseada em Windows Presentation Foundation. Essas telas podem simular prompts de coleta de credenciais, telas de espera para engenharia social por voz, barras falsas de progresso e atualizações falsas do Windows. O objetivo técnico é controlar a percepção da vítima durante a sessão bancária, ocultar etapas fraudulentas e induzir fornecimento de dados ou permanência no fluxo enquanto o operador executa ações remotas. A implementação também tenta ocultar as sobreposições de ferramentas de captura de tela, o que prejudica suporte remoto, gravações de usuário e algumas formas de resposta baseadas em evidência visual.
A superfície principal está em endpoints Windows de usuários que recebem e executam o instalador trojanizado. O pré-requisito central é execução local do MSI dentro do ZIP, seguida do carregamento da DLL maliciosa pelo binário assinado usado no side-loading. Controles de reputação baseados somente no executável legítimo tendem a perder contexto quando não correlacionam caminho, DLL carregada, assinatura, ancestralidade do processo e origem do instalador. A presença de logiaipromptbuilder.exe em locais incomuns, iniciado por MSI recém-extraído ou por arquivos vindos de mensagens, deve ser tratada como sinal de risco.
A segunda superfície é a identidade do usuário dentro de canais de comunicação legítimos. O módulo de WhatsApp Web sequestra uma sessão já autenticada no navegador e usa automação baseada no projeto WPPConnect para enviar mensagens a contatos, filtrando grupos, listas de transmissão e números não brasileiros. O componente de Outlook usa a aplicação Microsoft Outlook instalada para enviar e-mails de phishing pelo endereço real da vítima. Esse desenho permite que as mensagens herdem confiança social, histórico de relacionamento e infraestrutura legítima de entrega, reduzindo a eficácia de filtros baseados em reputação de remetente ou domínio.
No lado de serviços financeiros, a exposição depende da navegação da vítima para uma das 59 instituições ou plataformas previstas na configuração. O malware não precisa interceptar todo o tráfego de rede para decidir o momento de agir; ele observa a URL no navegador em primeiro plano e ativa o canal WebSocket quando há correspondência. Esse modelo concentra o comportamento malicioso no momento de maior valor, quando credenciais, tokens, confirmações, códigos ou interações bancárias podem estar presentes na sessão.
- Endpoints Windows que permitem execução de MSI obtido por ZIP e carregamento de DLL em diretórios controlados pelo usuário.
- Usuários com sessão ativa no WhatsApp Web ou cliente Microsoft Outlook configurado no host comprometido.
- Navegadores Chrome, Firefox, Edge, Brave, Opera e Vivaldi usados para acesso a bancos, fintechs ou plataformas de criptomoedas.
- Ambientes com baixa correlação entre instalador, binário assinado, DLL carregada, tarefa agendada e tráfego WebSocket.
A investigação deve começar pela cadeia de execução. Procure extração recente de ZIP seguida por execução de MSI, criação ou execução de logiaipromptbuilder.exe fora de diretórios esperados, carregamento de screen_retriever_plugin.dll e processo filho ou ancestral incompatível com uso normal do software da Logitech. Eventos de carregamento de DLL, Sysmon, EDR e trilhas de instalação do Windows Installer podem revelar o encadeamento. A presença de tclloader.exe também deve ser tratada como suspeita, especialmente por aparecer como referência provável a ambiente de teste ou execução controlada.
No endpoint, sinais de evasão incluem manipulação de ntdll.dll, redução anômala de telemetria ETW, falhas de sensores de endpoint perto do início do processo e criação de tarefas agendadas sem origem administrativa clara. Para a fase bancária, busque processos que realizem automação de interface contra barras de endereço de navegador, conexões WebSocket logo após acesso a domínios financeiros e janelas WPF em tela cheia sobrepostas ao navegador. A telemetria de rede deve correlacionar POST inicial de inventário do sistema, conexões persistentes e possíveis backends por Cloudflare Workers, sem assumir que todo tráfego via Cloudflare é malicioso.
Para propagação, verifique atividade incomum em WhatsApp Web e Outlook no mesmo intervalo da infecção. Indicadores comportamentais incluem envio em massa para contatos, mensagens repetidas com links ou anexos, automação de navegador em abas de WhatsApp, e-mails enviados pelo Outlook local sem interação compatível do usuário e crescimento abrupto de destinatários externos. Como a mensagem sai de contas reais da vítima, a análise precisa combinar logs locais, histórico de envio, horários de foco de janela, criação de processos e relatos de destinatários.
- Execução de MSI recém-extraído de ZIP seguida por
logiaipromptbuilder.exee carregamento descreen_retriever_plugin.dll. - Criação de tarefa agendada próxima ao primeiro beacon HTTP POST do implante.
- Conexões WebSocket iniciadas após navegação para bancos, fintechs ou plataformas de criptomoedas.
- Automação de WhatsApp Web com envio para contatos individuais e exclusão de grupos ou listas de transmissão.
- Envio volumoso pelo Microsoft Outlook usando a conta configurada localmente, com assunto, corpo ou anexo repetitivo.
A contenção imediata deve isolar endpoints com evidência de execução do MSI, carregamento de screen_retriever_plugin.dll ou envio automatizado por contas do usuário. Em seguida, encerre sessões de WhatsApp Web, revogue sessões ativas em serviços financeiros acessados a partir do host, altere credenciais expostas e preserve artefatos de disco e memória antes da limpeza quando houver necessidade de DFIR. Para contas de e-mail, revise itens enviados, regras de caixa postal, delegações, complementos e tokens de autenticação. O Outlook local deve ser tratado como vetor de abuso, não apenas como aplicação afetada.
A correção estrutural exige reduzir a capacidade de side-loading e execução de instaladores não aprovados. Use controle de aplicação para restringir MSI por origem, exigir caminhos confiáveis para binários assinados, bloquear DLLs não esperadas ao lado de executáveis legítimos e alertar quando programas assinados forem executados a partir de diretórios temporários, downloads ou perfis de usuário. Regras de detecção devem considerar ancestralidade, diretório, hash local, DLL carregada e comportamento subsequente, porque assinatura válida do executável hospedeiro não torna a cadeia confiável.
Na validação pós-incidente, confirme remoção da tarefa agendada, ausência de novos beacons, inexistência de conexões WebSocket suspeitas durante acesso a serviços financeiros e normalização dos padrões de envio em WhatsApp e Outlook. Usuários afetados devem ter credenciais financeiras e corporativas redefinidas conforme exposição observada, com revisão de transações, solicitações de suporte e tentativas de engenharia social recebidas durante o período comprometido. A caça retroativa deve cobrir hosts que receberam mensagens da vítima, porque a propagação por contatos legítimos aumenta a probabilidade de múltiplas infecções dentro da mesma organização ou rede de relacionamento.
- Isolar hosts suspeitos e coletar artefatos antes de remover persistência por tarefa agendada.
- Encerrar sessões de WhatsApp Web e revisar envio recente pelo Microsoft Outlook da vítima.
- Aplicar controle de aplicação para MSI, DLL side-loading e execução de binários assinados em caminhos não confiáveis.
- Criar alertas para
logiaipromptbuilder.execarregando DLL desconhecida ou executando fora do diretório esperado. - Rotacionar credenciais usadas em bancos, fintechs, criptomoedas e contas corporativas acessadas no endpoint comprometido.
0 Comentários