TCLBanker weaponizza WhatsApp e Outlook: 59 piattaforme tra banche, fintech e

TCLBanker weaponizza WhatsApp e Outlook: 59 piattaforme tra banche, fintech e

Elastic Security Labs ha pubblicato a maggio 2026 l’analisi di TCLBanker, un trojan bancario che estende l’arsenale della famiglia Maverick/Sorvepotel con moduli worm per WhatsApp Web e Microsoft Outlook. Il malware, tracciato come REF3076, prende di mira 59 piattaforme finanziarie — banche, fintech e servizi di criptovalute — e si diffonde autonomamente sfruttando il trust delle comunicazioni personali già autenticate.

La convergenza di tecniche anti-analisi tipiche di attori avanzati e canali trusted segna una nuova fase nella maturazione del crimeware brasiliano.

Punti chiave

Catena di infezione: ZIP, MSI e DLL side-loading

Il vettore iniziale è un archivio ZIP che contiene un installer MSI trojanizzato. Al suo interno, il pacchetto abusa del programma firmato Logi AI Prompt Builder di Logitech per eseguire il caricamento laterale di una libreria maligna. Il meccanismo non sfrutta vulnerabilità zero-day, ma si basa sulla manipolazione di un installer apparentemente legittimo per convincere il sistema a caricare codice non previsto.

La DLL caricata, denominata screen_retriever_plugin.dll, funge da loader e include un sottosistema watchdog con capacità anti-debug, anti-analisi e rimozione di hook EDR/ETW. In questo modo il malware neutralizza la visibilità delle difese endpoint prima ancora di esporre il payload vero e proprio.

Il loader non estrae il payload in chiaro immediatamente. Prepara il terreno mascherando le chiamate sospette e ritardando l’attivazione finché i controlli ambientali non vengono superati, rendendo l’analisi statica insufficiente da sola.

3 fingerprint per blindare il payload

Il payload è cifrato e la decrittazione dipende da un environment hash generato attraverso 3 fingerprint distinti. Il primo rileva strumenti anti-debug e ambienti virtualizzati; il secondo raccoglie informazioni sul disco; il terzo verifica la lingua di sistema.

Il campione controlla che la lingua sia il portoghese brasiliano e analizza fuso orario, layout tastiera e locale. Se anche solo uno dei 3 controlli non corrisponde, il payload non si decritta e l’esecuzione fallisce. Questo rende vano l’analisi in sandbox estere.

Analisti e ricercatori devono replicare fedelmente l’ambiente brasiliano o ricorrere a tecniche di dumping manuale dalla memoria di un dispositivo infetto per osservare il comportamento finale del malware.

"TCLBANKER reflects a broader maturation happening across the Brazilian banking trojan ecosystem. Techniques that were once the hallmark of more sophisticated threat actors: environment-gated payload decryption, direct syscall generation, real-time social engineering orchestration over WebSocket, are now being packaged into commodity crimeware." - Elastic Security Labs, via The Hacker News

WhatsApp e Outlook weaponizzati: il trust come vettore

TCLBanker integra un modulo worm per WhatsApp Web che recupera le sessioni autenticate dai profili Chromium attraverso i dati IndexedDB. Utilizzando il progetto open-source WPPConnect, invia messaggi di phishing filtrando gruppi, broadcast e numeri non brasiliani. Il furto avviene localmente sul dispositivo già compromesso, senza attaccare i server di WhatsApp.

In parallelo, un modulo dedicato a Microsoft Outlook abusa l’automazione COM per inviare email di phishing dai contatti della vittima. L’approccio bypassa filtri anti-spam e sfrutta la reputazione del mittente. L’email parte da un indirizzo reale e noto, rendendo quasi invisibile la minaccia agli scanner di posta.

La combinazione dei 2 canali trasforma ogni infezione in un possibile punto di partenza per campagne successive. La portata si moltiplica senza bisogno di infrastrutture di spam dedicate o di compromissioni server-side.

Overlay WPF e WebSocket: ingegneria sociale in tempo reale

Il modulo bancario monitora la barra degli indirizzi del browser ogni secondo tramite le Windows UI Automation API. Al rilevamento di uno dei 59 istituti target, apre una sessione WebSocket con il server di comando e controllo per orchestrare il controllo remoto in tempo reale.

Attraverso un sistema di overlay WPF a schermo intero, il malware può sovrapporre prompt di credenziali falsi, PIN pad, schermate d’attesa, finestre di Windows Update fasulle e cutout masking. Durante le sessioni attive, il processo Task Manager viene terminato per nascondere l’attività.

Il cutout masking mostra solo porzioni manipolate dell’interfaccia reale. L’utente crede di interagire con il sito legittimo, mentre i dati finanziari vengono carpiti sotto la supervisione dell’attaccante via WebSocket.

Cosa fare adesso

• Bloccare il DLL side-loading: monitorare gli installer MSI non richiesti e applicare policy AppLocker o Windows Defender Application Control per impedire il caricamento di librerie non previste nelle cartelle di software firmato come Logitech. Verificare che le DLL vengano caricate solo da percorsi attendibili.
• Isolare i browser bancari: usare profili dedicati con accesso limitato a estensioni e dati di sessione di WhatsApp Web, riducendo la superficie di attacco per il furto di IndexedDB da parte di malware già compromesso sul sistema operativo.
• Rilevare l’automazione COM: configurare gli EDR per segnalare comportamenti anomali di Microsoft Outlook che invia email programmaticamente a molti contatti senza interazione utente diretta, in particolare quando il destinatario è presente in rubrica.
• Addestrare all’out-of-band: insegnare agli utenti a verificare con un secondo canale ogni richiesta di credenziali o PIN, anche se mascherata da schermate d’attesa, progress bar o aggiornamenti urgenti di Windows durante la navigazione bancaria.

L’arrivo di TCLBanker dimostra che il confine tra crimeware commoditizzato e operazioni mirate si è assottigliato. Quando un trojan eredita syscall dirette, decrittazione legata all’ambiente e overlay orchestrati via WebSocket, il modello di difesa basato su gateway e reputazione collassa. Il perimetro non è più la rete aziendale, ma il thread di una chat fidata o la inbox di un collega già compromesso.

Domande frequenti

In che modo TCLBanker si distingue dai tradizionali trojan bancari brasiliani?

A differenza dei predecessori commodity, TCLBanker unisce decrittazione ambientale-gated, syscall dirette e overlay WPF orchestrati via WebSocket. L’aggiunta di 2 moduli worm per WhatsApp Web e Outlook trasforma il malware da semplice infostealer in piattaforma di propagazione autonoma. Elastic Security Labs sottolinea che questa convergenza di tecniche da APT in un crimeware commodity segnala una maturazione dell’intero ecosistema.

Perché l’uso di WhatsApp e Outlook è più insidioso del phishing email classico?

Il malware non invia messaggi da indirizzi falsi, ma sfrutta sessioni e account già autenticati della vittima. Questo erode il trust reciproco e bypassa le difese basate su reputazione del mittente e gateway anti-spam. L’email o il messaggio arriva da un contatto conosciuto, spezzando il principio di verifica su cui si fondano molte policy di sicurezza aziendali.

L’abuso del software Logitech significa che il vendor è stato compromesso?

No. Il meccanismo si basa sul DLL side-loading di un’applicazione firmata legittima, non su una compromissione della supply chain di Logitech. Il software originale viene usato come veicolo, non è stato alterato dal vendor. La tecnica sfrutta la fiducia del sistema operativo nei confronti dei binari firmati per caricare una libreria maligna con lo stesso nome previsto dal programma.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.bleepingcomputer.com/news/security/new-tclbanker-malware-self-spreads-over-whatsapp-and-outlook/
• https://thehackernews.com/2026/05/tclbanker-banking-trojan-targets.html