Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
TCLBANKER to nowo opisany trojan bankowy wymierzony w brazylijski sektor finansowy, firmy fintech oraz platformy kryptowalutowe. Zagrożenie łączy klasyczne mechanizmy kradzieży danych i przejmowania sesji z funkcjami robakowymi, które wykorzystują aktywne konta WhatsApp Web oraz Microsoft Outlook do dalszej dystrybucji złośliwego oprogramowania.
To połączenie zdalnej kontroli, socjotechniki i automatycznego rozprzestrzeniania sprawia, że kampania wyróżnia się na tle typowych trojanów bankowych. Atakujący nie ograniczają się do przejęcia danych logowania, ale próbują także wykorzystać zaufane kanały komunikacji ofiary do zwiększenia skali ataku.
W skrócie
- TCLBANKER atakuje podmioty związane z bankowością, fintechami i kryptowalutami.
- Infekcja rozpoczyna się od trojanizowanego instalatora MSI i techniki DLL side-loading.
- Malware wykorzystuje WhatsApp Web i Outlook do wysyłania wiadomości z konta ofiary.
- Zagrożenie posiada funkcje anti-analysis, keyloggingu, zdalnej kontroli i nakładek phishingowych.
- Kampania zwiększa skuteczność oszustw dzięki wykorzystaniu legalnych sesji komunikacyjnych użytkownika.
Kontekst / historia
TCLBANKER został powiązany z aktywnością śledzoną jako REF3076 i jest uznawany za rozwinięcie wcześniejszych brazylijskich rodzin malware bankowego, takich jak MAVERICK oraz SORVEPOTEL. W porównaniu ze starszymi kampaniami nowa odsłona pokazuje wyższy poziom dojrzałości technicznej, obejmujący mechanizmy zależnego od środowiska odszyfrowania ładunku, wyłączania telemetryki oraz interaktywnej socjotechniki prowadzonej przez operatora.
Istotna zmiana dotyczy również modelu dystrybucji. Zamiast polegać wyłącznie na klasycznych kampaniach phishingowych, TCLBANKER przejmuje aktywne sesje komunikacyjne ofiary i wykorzystuje je do wysyłki wiadomości do prawdziwych kontaktów. Taki model znacząco zwiększa wiarygodność ataku i utrudnia jego wykrycie przez tradycyjne filtry reputacyjne.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od archiwum ZIP zawierającego złośliwy instalator MSI. Pakiet nadużywa legalnej, podpisanej aplikacji Logi AI Prompt Builder i wykorzystuje technikę DLL side-loading do uruchomienia podstawionej biblioteki przypominającej legalny komponent Flutter. To właśnie ona inicjuje loader odpowiedzialny za weryfikację środowiska, odszyfrowanie komponentów i uruchomienie głównych modułów malware.
Loader zawiera rozbudowane mechanizmy anti-analysis. Sprawdza obecność debuggerów, środowisk wirtualnych, nietypowych nazw użytkownika, parametrów pamięci i dysku oraz ustawień językowych systemu. Kluczowym elementem jest generowanie skrótu środowiska używanego do wyprowadzenia klucza deszyfrującego osadzony payload. Jeśli środowisko wygląda na analityczne lub sandboxowe, złośliwy kod może zakończyć działanie bez widocznych oznak infekcji.
Zagrożenie usuwa także user-mode hooki z biblioteki ntdll.dll, wyłącza telemetrię ETW i uruchamia wątek watchdog monitorujący obecność narzędzi analitycznych, debuggerów oraz frameworków instrumentacyjnych. Takie działania utrudniają analizę dynamiczną i mogą osłabiać skuteczność części rozwiązań EDR.
Po instalacji główny moduł bankowy zapisuje się w katalogu użytkownika, ustanawia trwałość poprzez zaplanowane zadanie i komunikuje się z serwerem dowodzenia. Następnie monitoruje aktywne przeglądarki, odczytując adresy URL z wykorzystaniem UI Automation. Gdy użytkownik otworzy jedną z obserwowanych domen finansowych, malware może przejść do aktywnej fazy oszustwa sterowanej przez operatora.
Możliwości zdalne obejmują:
- wykonywanie poleceń powłoki,
- przechwytywanie zrzutów ekranu i streaming ekranu,
- keylogging i manipulację schowkiem,
- zarządzanie procesami oraz plikami,
- zdalne sterowanie myszą i klawiaturą.
Szczególnie groźnym elementem są pełnoekranowe overlaye WPF wykorzystywane do wyłudzania danych. Operator może prezentować fałszywe formularze logowania, ekrany oczekiwania na kontakt telefoniczny, pozorowane procesy weryfikacji oraz fikcyjne aktualizacje systemu, jednocześnie utrudniając ich przechwycenie przez narzędzia bezpieczeństwa.
Drugim filarem kampanii są moduły propagacji. Wariant związany z WhatsApp przejmuje aktywne sesje WhatsApp Web przez klonowanie danych profilu przeglądarki, uruchomienie środowiska Chromium i automatyzację wysyłki wiadomości. Moduł filtruje kontakty, pomija grupy i listy rozgłoszeniowe, a następnie rozsyła spreparowane wiadomości i pliki do brazylijskich numerów. Z kolei moduł Outlook korzysta z COM automation do pobierania kontaktów i wysyłki phishingowych wiadomości bezpośrednio ze skrzynki ofiary.
Konsekwencje / ryzyko
Dla użytkowników końcowych TCLBANKER oznacza ryzyko kradzieży poświadczeń, przejęcia kont finansowych, obejścia procesów autoryzacyjnych i bezpośredniej utraty środków. Dla organizacji zagrożenie jest jeszcze szersze, ponieważ obejmuje kompromitację poczty, nadużycie legalnych kanałów komunikacji oraz możliwość szybkiego rozprzestrzenienia się ataku na partnerów, klientów i pracowników.
Największym problemem jest połączenie zdalnej aktywności operatora z wiarygodną socjotechniką. Atakujący mogą prowadzić ofiarę krok po kroku przez proces oszustwa, blokować interfejs, wymuszać określone działania i uwiarygadniać cały scenariusz przez kontakt z zaufanego konta lub skrzynki pocztowej. To podnosi skuteczność kampanii i utrudnia szybkie rozpoznanie incydentu.
Rekomendacje
Organizacje powinny monitorować nietypowe użycie instalatorów MSI, technik DLL side-loading oraz uruchamianie legalnych aplikacji z podejrzanymi bibliotekami DLL w katalogach użytkownika. Warto także wdrożyć reguły detekcji dla prób modyfikacji ETW, manipulacji ntdll.dll, tworzenia podejrzanych zadań harmonogramu i procesów wykorzystujących UI Automation do odczytu treści przeglądarek.
Z perspektywy ochrony stacji roboczych kluczowe znaczenie mają ograniczenia uruchamiania nieautoryzowanych pakietów MSI, stosowanie application allowlisting oraz monitoring procesów korzystających z COM automation wobec Outlooka. W środowiskach podwyższonego ryzyka uzasadnione jest również profilowanie nietypowych zachowań związanych z WhatsApp Web, zwłaszcza gdy pojawiają się oznaki automatyzacji masowej komunikacji.
Zespoły SOC powinny korelować kilka sygnałów jednocześnie, takich jak uruchomienie podejrzanego instalatora, utworzenie zadania harmonogramu, aktywność WebSocket, użycie Outlook COM oraz nagły wzrost liczby wiadomości wysyłanych do kontaktów użytkownika. W przypadku podejrzenia infekcji należy nie tylko odizolować endpoint, ale też unieważnić sesje komunikacyjne, zresetować hasła, przeanalizować wysłane wiadomości i ostrzec potencjalnie narażonych odbiorców.
Użytkownicy powinni być szkoleni, że wiadomość od znanego kontaktu nie jest automatycznie bezpieczna. Szczególną ostrożność należy zachować wobec załączników, plików, dokumentów i ofert przesyłanych przez komunikatory oraz pocztę elektroniczną.
Podsumowanie
TCLBANKER pokazuje, że nowoczesne trojany bankowe ewoluują w wielofunkcyjne platformy łączące kradzież danych, zdalne sterowanie, zaawansowane unikanie analizy, wizualną socjotechnikę i automatyczne rozprzestrzenianie przez legalne kanały komunikacji. To wyraźny sygnał ostrzegawczy dla zespołów bezpieczeństwa, że ochrona przed phishingiem nie może opierać się wyłącznie na reputacji nadawcy i klasycznych filtrach treści.
W przypadku kampanii takich jak TCLBANKER równie istotne stają się analiza zachowań endpointów, kontrola sesji użytkownika, ochrona komunikatorów webowych oraz monitorowanie nadużyć zaufanych aplikacji. Skuteczna obrona wymaga dziś łączenia telemetryki endpointowej, kontroli tożsamości i szybkiej reakcji na anomalie w komunikacji.
Źródła
- Elastic Security Labs, https://www.elastic.co/security-labs/tclbanker-brazilian-banking-trojan
- The Hacker News, https://thehackernews.com/2026/05/tclbanker-banking-trojan-targets.html
- MITRE ATT&CK, https://attack.mitre.org/
- Microsoft Learn – UI Automation, https://learn.microsoft.com/
- Trend Micro – Water Saci / SORVEPOTEL context, https://www.trendmicro.com/