Los cazadores de amenazas han detectado un troyano bancario brasileño previamente indocumentado denominado BANCOS TCL que es capaz de apuntar a 59 plataformas bancarias, fintech y de criptomonedas.
La actividad está siendo rastreada por Elastic Security Labs bajo el nombre REF3076. Se considera que la familia de malware es una actualización importante de Maverick, que se sabe que aprovecha un gusano llamado SORVEPOTEL para propagarse a través de WhatsApp Web a los contactos de la víctima. La campaña Maverick se atribuye a un grupo de amenazas que Trend Micro llama Water Saci.
En el centro de la cadena de ataque se encuentra un cargador con sólidas capacidades antianálisis que implementa dos módulos integrados: un troyano bancario con todas las funciones y un componente de gusano que utiliza WhatsApp y Microsoft Outlook para su propagación.
«La cadena de infección observada incluye un instalador MSI malicioso dentro de un archivo ZIP», dijeron los investigadores de seguridad Jia Yu Chan, Daniel Stepanic, Seth Goodwin y Terrance DeJesus. «Estos paquetes de instalación de MSI están abusando de un programa firmado por Logitech llamado Logi AI Prompt Builder».
El malware aprovecha la carga lateral de DLL contra la aplicación para iniciar una DLL maliciosa («screen_retriever_plugin.dll»), que funciona como un cargador con un «subsistema de vigilancia integral» que vigila continuamente las herramientas de análisis, entornos sandbox, depuradores, desensambladores, herramientas de instrumentación y software antivirus para evitar la detección.
Específicamente, la DLL maliciosa solo se ejecutará si fue cargada por «logiaipromptbuilder.exe» (el programa Logitech) o «tclloader.exe» (probablemente una referencia a un ejecutable utilizado durante las pruebas). También elimina cualquier gancho de modo de usuario colocado por el software de seguridad de endpoints dentro de «ntdll.dll» reemplazando la biblioteca y desactiva la telemetría de seguimiento de eventos para Windows (ETW).
Es más, el malware genera tres huellas digitales basadas en comprobaciones antidepuración y antivirtualización, comprobaciones de información del disco del sistema y comprobaciones de idioma, usándolas para crear un valor hash ambiental que se utiliza para descifrar la carga útil incorporada. La verificación del idioma del sistema garantiza que el idioma predeterminado del usuario sea el portugués brasileño.
«Por ejemplo, si hay un depurador presente, producirá un hash incorrecto, por lo que cuando el malware intente derivar las claves de descifrado del hash, la carga útil no se descifrará correctamente y TCLBANKER dejará de ejecutarse», explicó Elastic.
El principal componente lanzado después de estas comprobaciones es el troyano bancario que verifica una vez más si se está ejecutando en un sistema brasileño y luego procede a establecer la persistencia mediante una tarea programada. Posteriormente, se dirige a un servidor externo con una solicitud HTTP POST que contiene información básica del sistema.
TCLBANKER también incorpora un mecanismo de actualización automática y un monitor de URL que extrae la URL actual de la barra de direcciones del navegador en primer plano mediante UI Automation. Este paso está dirigido a navegadores populares como Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera y Vivaldi.
La URL extraída se compara con una lista codificada de instituciones financieras específicas. Si hay una coincidencia, establece una conexión WebSocket con un servidor remoto y entra en un bucle de envío de comandos, lo que permite al operador realizar una amplia gama de tareas:
- Ejecutar comandos de shell
- Capturar capturas de pantalla
- Iniciar/detener la transmisión de pantalla
- Manipular el portapapeles
- Iniciar un registrador de teclas
- Controlar remotamente el mouse/teclado
- Administrar archivos y procesos
- Enumerar los procesos en ejecución
- Listar ventanas visibles
- Ofrecer superposiciones falsas de robo de credenciales
Para llevar a cabo el robo de datos, TCLBANKER se basa en un marco de superposición de pantalla completa basado en Windows Presentation Foundation (WPF) para realizar ingeniería social utilizando indicaciones de recolección de credenciales, pantallas de espera vishing, barras de progreso falsas y actualizaciones de Windows falsas, todo mientras oculta superposiciones de las herramientas de captura de pantalla.
Al mismo tiempo, el cargador invoca el módulo de desparasitación para propagar el troyano a través de mensajes de spam y phishing a escala. Emplea un enfoque doble que involucra un gusano web de WhatsApp que secuestra sesiones autenticadas del navegador y un robot de correo electrónico de Outlook que abusa de Microsoft Outlook para enviar correos electrónicos falsos a los contactos de la víctima.
Como en el caso de SORVEPOTEL, el gusano WhatsApp recupera una plantilla de mensajería del servidor y aprovecha el proyecto de código abierto WPPConnect para automatizar el envío de mensajes a otros usuarios, al tiempo que filtra grupos, transmisiones y números no brasileños.
El agente Outlook, por otro lado, es un robot de spam de correo electrónico que abusa de la aplicación Microsoft Outlook instalada por la víctima para enviar correos electrónicos de phishing desde la dirección de correo electrónico de la víctima, evitando así los filtros de spam y dando a los mensajes una ilusión de confianza.
«TCLBANKER refleja una maduración más amplia que se está produciendo en todo el ecosistema de troyanos bancarios brasileños», concluyó Elastic. «Las técnicas que alguna vez fueron el sello distintivo de los actores de amenazas más sofisticados: descifrado de carga útil controlado por el entorno, generación directa de llamadas al sistema, orquestación de ingeniería social en tiempo real a través de WebSocket, ahora se están empaquetando en software criminal».
«La campaña hereda la confianza y la capacidad de entrega de las comunicaciones legítimas al secuestrar las sesiones de WhatsApp y las cuentas de Outlook de las víctimas. Este es un modelo de distribución que los portales de correo electrónico tradicionales y las defensas basadas en la reputación no están bien equipados para detectar».
