“Puntare sull’inganno”: il trojan TCLBANKER trasforma WhatsApp e Outlook in armi per il cybercrimine
Un nuovo trojan bancario brasiliano sfrutta app di messaggistica affidabili per avviare una campagna di cybercrimine furtiva e tecnicamente avanzata contro gli utenti dei servizi finanziari.
Immagina questo: ricevi un messaggio WhatsApp o un’email da un contatto fidato-magari un collega o un familiare. Al suo interno si nasconde un invasore silenzioso, progettato non solo per svuotare il tuo conto bancario, ma per usare la tua stessa identità digitale come trampolino di lancio per il prossimo attacco. Non è una storia ipotetica per spaventare-è la realtà di TCLBANKER, un trojan bancario brasiliano scoperto di recente che sta facendo scattare l’allarme tra gli esperti di cybersicurezza di tutto il mondo.
L’anatomia di un predatore digitale
Rivelato da Elastic Security Labs e tracciato con il nome in codice REF3076, TCLBANKER è ritenuto un importante aggiornamento del famigerato malware Maverick. Nel suo nucleo, TCLBANKER è progettato per infiltrarsi, persistere e propagarsi con spietata efficienza. La sua catena di infezione si maschera da applicazione Logitech legittima, sfruttando una tecnica nota come side-loading di DLL per far passare di nascosto un payload malevolo oltre le difese di sicurezza.
Una volta installato, TCLBANKER avvia un loader sofisticato-una sorta di sentinella digitale-che esegue scansioni continue alla ricerca di strumenti di sicurezza o ambienti virtuali, rifiutandosi di attivarsi se percepisce di essere osservato. Solo quando gira su un autentico sistema Windows brasiliano (confermato controllando la lingua di sistema) decritta e distribuisce la sua vera potenza: un trojan bancario completo e un worm in grado di auto-propagarsi.
Le capacità del trojan sono allarmanti. Può monitorare l’attività del browser in tempo reale, cercando visite a un elenco hard-coded di siti finanziari. Se individua un bersaglio, apre un canale di comunicazione occulto e consente agli operatori remoti di eseguire comandi, catturare screenshot, trasmettere lo schermo della vittima, manipolare file e-cosa più pericolosa-attivare overlay per il furto di credenziali che imitano i prompt bancari legittimi. Nel frattempo, questi overlay sono abilmente nascosti alla maggior parte degli strumenti di cattura schermo, rendendo il rilevamento ancora più difficile.
Ma l’innovazione di TCLBANKER risiede nel suo modulo “worm”, che trasforma le vittime in complici inconsapevoli. Dirottando sessioni WhatsApp Web già autenticate e abusando di Microsoft Outlook della vittima, invia messaggi di phishing ed email ai contatti, aggirando i tradizionali filtri antispam e sfruttando la fiducia intrinseca della comunicazione personale. Usando strumenti di automazione open source, il malware personalizza i messaggi ed evita deliberatamente bersagli non brasiliani, mostrando un livello di precisione agghiacciante.
I ricercatori di sicurezza avvertono che le tecniche ora osservate in TCLBANKER-come la decrittazione del payload basata sull’ambiente e l’ingegneria sociale in tempo reale-un tempo erano il marchio di fabbrica di attori di minaccia d’élite. Oggi vengono confezionate in crimeware per il mercato di massa, rendendo attacchi sofisticati accessibili a un pubblico criminale più ampio.
Conclusione: la fiducia come cavallo di Troia
L’ascesa di TCLBANKER segnala un pericoloso cambiamento nell’ecosistema del cybercrimine. Armando canali di comunicazione fidati e impiegando tattiche avanzate di evasione, questa nuova generazione di malware sfuma il confine tra attacchi mirati e attacchi su larga scala. Mentre le difese tradizionali faticano a tenere il passo, utenti e organizzazioni devono restare vigili-non solo contro messaggi sospetti provenienti da sconosciuti, ma anche da amici e colleghi. Nell’era della fiducia digitale, il prossimo attacco potrebbe arrivare dall’ultimo posto in cui te lo aspetteresti.
TECHCROOK
Bitdefender Total Security è una suite di sicurezza pensata per contrastare minacce come trojan bancari, phishing e tecniche di evasione che sfruttano canali fidati (email e messaggistica). Integra protezione in tempo reale con analisi comportamentale per individuare attività anomale (esecuzioni sospette, tentativi di persistenza, comunicazioni verso server remoti), moduli anti-phishing e web protection per bloccare pagine di login contraffatte e overlay ingannevoli, oltre a funzioni anti-frode per ridurre il rischio di furto credenziali durante l’accesso ai servizi finanziari. Include anche strumenti di hardening di base (firewall e controllo delle app) utili su PC Windows, scenario tipico di campagne come TCLBANKER. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- Trojan bancario: Un trojan bancario è un malware che prende di mira i dati finanziari rubando credenziali bancarie e informazioni personali, spesso imitando app affidabili.
- DLL Side: DLL Side è una tecnica in cui gli attaccanti ingannano i programmi inducendoli a caricare file DLL malevoli, aggirando la sicurezza e ottenendo accesso o controllo non autorizzati.
- Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
- Attacco overlay: Un attacco overlay usa schermate false sovrapposte alle app reali per indurre gli utenti a inserire dati sensibili come password o PIN, consentendo il furto di credenziali.
- WebSocket: WebSocket è un protocollo che mantiene un canale aperto tra il browser e un server, consentendo uno scambio di messaggi bidirezionale in tempo reale.




