Il tradimento della firma di Logitech: un trojan bancario brasiliano si nasconde in piena vista
Sottotitolo: Gli hacker trasformano in arma un installer Logitech affidabile per scatenare TCLBANKER, un trojan bancario furtivo che prende di mira i wallet digitali del Brasile e non solo.
Tutto è iniziato con un semplice download: un installer Logitech legittimo, firmato e considerato affidabile, che prometteva agli utenti un nuovo assistente IA. Ma per le vittime in tutto il Brasile, ha spalancato la porta a un colpo sofisticato. Gli hacker hanno trasformato un nome tecnologico di uso quotidiano in un cavallo di Troia, scatenando una nuova razza di malware bancario, TCLBANKER, con il potere di rubare, spiare e diffondersi nel panorama finanziario iperconnesso del Brasile.
La catena d’infezione si basa su un file ZIP contenente un installer MSI malevolo camuffato da Logi AI Prompt Builder di Logitech. Questo installer abusa di una tecnica nota come DLL sideloading: invece di caricare un plugin legittimo, carica un sosia-screen_retriever_plugin.dll-che contiene il loader di TCLBANKER. Poiché l’applicazione host è firmata da Logitech, la maggior parte degli strumenti di sicurezza e degli utenti le concede una fiducia indebita, lasciando che l’attacco passi tra le maglie.
Ma TCLBANKER è più di un semplice trojan bancario. È un’evoluzione, che eredita codice da vecchie minacce brasiliane come MAVERICK/SORVEPOTEL, ma con un tocco moderno. Il loader è pieno di trucchi-anti-debugging, anti-sandboxing, codice cifrato e controlli dell’ambiente. Calcola un “hash dell’ambiente” unico basato sulla lingua di sistema, sulle specifiche hardware e sul fatto che stia girando in Brasile; solo quando tutte le condizioni coincidono, il payload reale si decifra e si avvia. Se percepisce un ricercatore, semplicemente svanisce, lasciando gli analisti a mani vuote.
Una volta attivo, il core .NET di TCLBANKER entra in azione. Osserva il browser della vittima, aspettando che visiti uno qualsiasi dei 59 siti finanziari brasiliani preselezionati. Quando trova una corrispondenza, contatta il suo server di comando, inviando un’impronta digitale della macchina della vittima. Gli attaccanti possono quindi prendere il controllo-catturando lo schermo, manipolando mouse e tastiera, oppure avviando overlay convincenti: falsi moduli bancari, schermate “attendere prego” e perfino finti aggiornamenti di Windows. Questi overlay restano sempre in primo piano, bloccano i tasti di uscita e si nascondono abilmente dalla cattura schermo, rendendo la frode remota invisibile persino durante le chiamate di assistenza.
La campagna non si ferma al furto. TCLBANKER infetta anche WhatsApp Web e Outlook, usando sessioni dirottate per inviare link di phishing e file malevoli ai contatti della vittima. Il modulo WhatsApp inietta codice direttamente nei browser, mentre il bot di Outlook usa l’automazione per inviare email direttamente dall’account della vittima. Entrambi riferiscono a un server centrale, coordinando una propagazione su larga scala e gli aggiornamenti della campagna.
Tutta l’infrastruttura è nascosta dietro Cloudflare, con domini e payload gestiti da un unico account. Anche se alcuni siti di phishing sembrano incompleti, la rapida evoluzione e la sofisticazione di TCLBANKER suggeriscono che il cybercrimine brasiliano stia entrando in una nuova fase pericolosa-una fase in cui la fiducia persino nei brand più familiari può essere trasformata in arma contro di noi.
Mentre i ricercatori di sicurezza corrono per stare al passo, la lezione è chiara: la fiducia, una volta spezzata, è difficile da riconquistare. Nel panorama odierno del cybercrimine, persino un installer firmato di un nome noto può essere l’inizio di un incubo. Per l’economia digitale del Brasile, la vigilanza non è mai stata così essenziale.
TECHCROOK
Bitdefender Total Security è una suite di protezione multi-dispositivo pensata per contrastare minacce come trojan bancari e loader che sfruttano tecniche di evasione (anti-sandbox, anti-debugging) e social engineering con overlay. Integra motore antimalware con analisi comportamentale e protezione in tempo reale contro download e file compressi, riducendo il rischio di esecuzione di installer manomessi e componenti caricati via DLL sideloading. Include moduli anti-phishing e protezione della navigazione utili contro link malevoli diffusi via email e messaggistica, oltre a funzioni di hardening per transazioni online e gestione delle vulnerabilità più comuni. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- DLL sideloading: Il DLL sideloading è quando gli attaccanti ingannano programmi affidabili inducendoli a caricare file di supporto malevoli (DLL) al posto di quelli legittimi, consentendo attacchi nascosti.
- Anti: “Anti” si riferisce ai metodi usati dal malware per evitare il rilevamento o l’analisi da parte di strumenti di sicurezza e ricercatori, rendendo le minacce più difficili da studiare o fermare.
- Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
- WebSocket: WebSocket è un protocollo che mantiene un canale aperto tra il browser e un server, consentendo uno scambio di messaggi bidirezionale in tempo reale.
- Overlay attack: Un attacco overlay usa schermate false sovrapposte alle app reali per ingannare gli utenti e indurli a inserire dati sensibili come password o PIN, consentendo il furto di credenziali.




