Malware – Um novo trojan bancário voltado exclusivamente para usuários brasileiros chamou a atenção de pesquisadores da empresa de segurança Elastic por reunir técnicas avançadas de fraude digital, evasão de detecção e disseminação automática. Chamado de TCLBANKER, o malware foi associado ao grupo identificado como REF3076 e ainda estaria em fase inicial de operação.
Os criminosos distribuem o programa malicioso por meio de um arquivo compactado que simula o instalador do Logi AI Prompt Builder, ferramenta legítima da Logitech. Ao abrir o arquivo, a vítima executa um componente capaz de carregar uma DLL maliciosa mascarada como plugin do próprio sistema operacional.
LEIA: Robô inspirado em cães usa IA para criar conexão emocional
Antes de iniciar qualquer atividade, o trojan realiza uma série de checagens para evitar análise em ambientes de teste utilizados por pesquisadores de segurança. Entre as verificações estão a presença de programas de monitoramento, a capacidade de processamento da máquina, a quantidade de memória RAM e o espaço disponível no disco rígido.
O software também verifica se o computador está configurado em português do Brasil e se o sistema identifica o país como localização principal. Se os parâmetros não coincidirem com o perfil esperado, o malware encerra sua atividade sem apresentar sinais visíveis ao usuário.
Depois de instalado, o TCLBANKER cria mecanismos de persistência no Windows para permanecer ativo após reinicializações. Em seguida, envia aos operadores do golpe informações básicas do dispositivo infectado, como nome da máquina e versão do sistema operacional.
A partir desse momento, o malware passa a acompanhar continuamente os sites acessados pela vítima. O programa compara os endereços visitados com uma lista interna composta por dezenas de instituições financeiras brasileiras, incluindo bancos, fintechs e corretoras de criptomoedas. Quando um desses domínios é identificado, os criminosos assumem o controle da operação em tempo real.
Uma das principais características do trojan é a utilização de interfaces falsas que cobrem completamente a tela do computador. As janelas fraudulentas permanecem sobre qualquer outro conteúdo exibido no monitor e foram desenvolvidas para não aparecer em capturas de tela ou gravações feitas pela vítima.
Entre as telas utilizadas pelos criminosos está uma falsa atualização do Windows, com barra de progresso e aparência semelhante à interface original do sistema operacional. Outra simula um atendimento em andamento com a mensagem “Estamos entrando em contato”, normalmente exibida enquanto um golpista telefona para a vítima fingindo ser funcionário do banco, prática conhecida como vishing.
O malware também possui uma interface específica para coleta de credenciais bancárias. Nesse caso, a vítima é levada a utilizar um teclado virtual numérico, enquanto o sistema rejeita automaticamente combinações simples para incentivar o preenchimento de dados reais.
Há ainda uma quarta modalidade de tela falsa que exibe etapas fictícias de processamento, com animações e cronômetros que reiniciam constantemente para manter a vítima distraída. Durante esse período, os criminosos conseguem operar o computador remotamente, movimentando o cursor, digitando comandos e registrando informações da tela.
Além de roubar dados bancários, o TCLBANKER foi desenvolvido para ampliar o alcance da campanha usando os próprios contatos da vítima. Um dos módulos atua diretamente sobre sessões ativas do WhatsApp Web encontradas nos navegadores instalados no computador.
Com acesso à conta autenticada, o malware envia mensagens automaticamente para os contatos da vítima contendo links para download do arquivo malicioso, geralmente apresentados como pedidos de orçamento acompanhados de anexos.
Outro mecanismo utiliza o Microsoft Outlook instalado na máquina. O trojan acessa a conta de e-mail comprometida, coleta endereços do histórico de mensagens e dispara comunicados com o assunto “NFe disponível para impressão”. O conteúdo imita notificações fiscais legítimas e direciona o destinatário para páginas controladas pelos criminosos.
Segundo os pesquisadores, o uso de contas verdadeiras aumenta significativamente a credibilidade das mensagens e dificulta a identificação do golpe por ferramentas tradicionais de segurança.
A análise da infraestrutura utilizada pelo grupo indica que a campanha ainda estava em fase de preparação quando foi descoberta. Os especialistas encontraram páginas incompletas, registros de desenvolvimento ainda ativos e domínios recém-criados destinados a futuras etapas da operação.
Toda a estrutura de distribuição e controle do malware utiliza serviços da plataforma Cloudflare Workers, o que facilita a troca rápida de endereços utilizados na campanha caso eles sejam bloqueados.
Para a Elastic, o TCLBANKER representa uma nova etapa na evolução dos trojans bancários latino-americanos ao combinar recursos sofisticados de manipulação visual, acesso remoto e autopropagação em larga escala. A inclusão de mecanismos automáticos de disseminação é vista como um dos elementos mais preocupantes da ameaça, especialmente pela dificuldade de detectar mensagens enviadas a partir de contas legítimas comprometidas.
(Com informações de Tecmundo)
(Foto: Reprodução/Magnific/thanyakij-12)
