Forscher von Elastic Security Labs haben einen neuen Banking-Trojaner namens TCLBANKER dokumentiert. Die Kampagne läuft intern unter der Bezeichnung REF3076 und richtet sich aktuell primär gegen Nutzer in Brasilien. Was diesen Schädling von typischer Banking-Malware unterscheidet: Er enthält Wurm-Module, die ihn nach einer Infektion automatisch über die eigenen WhatsApp- und Outlook-Konten des Opfers weiterverbreiten. Das macht ihn für klassische Spam-Filter weitgehend unsichtbar, denn die Nachrichten kommen vom echten Account eines vertrauten Kontakts.

Infektionsweg: Gefälschter Logitech-Installer

TCLBANKER kommt als manipuliertes MSI-Installationspaket, das in einer ZIP-Datei versteckt ist. Der Installer gibt vor, der offizielle „Logi AI Prompt Builder“ von Logitech zu sein. Die eigentliche Malware landet dabei nicht direkt auf dem System, sondern nutzt einen Trick namens DLL-Side-Loading: Die echte, signierte Logitech-Anwendung lädt automatisch eine bösartige DLL-Datei namens screen_retriever_plugin.dll, die sich als legitimes Flutter-Plugin tarnt. Für gängige Sicherheitssoftware sieht der Prozess damit nach einer harmlosen Logitech-Anwendung aus.
Sandboxresistent Loader
Bevor der eigentliche Schadcode entpackt wird, führt TCLBANKER eine umfangreiche Umgebungsprüfung durch. Der Loader erstellt einen Fingerabdruck des Systems aus Anti-Debugging-Checks, Festplatten- und Arbeitsspeicherinformationen sowie Spracheinstellungen. Dieser Fingerabdruck fließt in die Generierung des Entschlüsselungsschlüssels ein. In einer Sandbox oder unter einem Debugger ergibt sich ein falscher Schlüsselwert und die Payload entschlüsselt sich nicht. Das Ergebnis ist Stille: Kein Absturz, keine Fehlermeldung, einfach keine Ausführung. Zusätzlich prüft der Loader unter anderem, ob das System mindestens 64 GB Festplattenplatz und 2 GB RAM hat, ob Virtualisierungssoftware von VMware, VirtualBox, KVM oder QEMU aktiv ist, und ob die Systemsprache auf brasilianisches Portugiesisch eingestellt ist.
Ein parallel laufender Watchdog-Thread überwacht laufend, ob Analyse-Tools wie x64dbg, Ghidra, dnSpy, IDA Pro oder Frida geöffnet werden. Werden solche Tools erkannt, stoppt die Malware sofort.

Was passiert nach der Infektion

Sobald TCLBANKER aktiv ist, richtet er sich über einen geplanten Task in der Windows-Aufgabenplanung persistent ein und beobachtet im Sekundentakt die Adresszeile des Browsers. Unterstützt werden Chrome, Firefox, Edge, Brave, Opera und Vivaldi. Navigiert das Opfer zu einer der 59 Zieldomains, darunter brasilianische Banken, Fintech-Dienste und Kryptobörsen, baut die Malware sofort eine WebSocket-Verbindung zu den Angreifern auf. Ab diesem Moment haben die Angreifer weitreichende Kontrolle:

• Live-Streaming des Bildschirms und Fernsteuerung von Maus und Tastatur
• Keylogging und Zwischenablage-Hijacking
• Ausführen von Shell-Befehlen und Zugriff auf das Dateisystem
• Deaktivierung des Windows Task-Managers

Das auffälligste Feature ist ein System aus gefälschten Vollbild-Overlays. Den Opfern werden täuschend echte Eingabemasken präsentiert, die Banken oder Windows-Systemdialogen nachempfunden sind. Die Overlays sind vor Screenshot-Tools verborgen, während die Angreifer über ihren eigenen Stream weiterhin sehen, was auf dem Bildschirm des Opfers passiert. Eingaben in virtuelle PIN-Tastaturen oder Telefonnummer-Felder werden direkt an den C2-Server übermittelt. Ein gefälschter „Windows Update“-Bildschirm kann das Opfer für rund 15 Minuten beschäftigen, während im Hintergrund Transaktionen stattfinden.

Wurm-Verbreitung über WhatsApp und Outlook

Das zweite Modul ist ein Wurm, der die Infektion automatisch weitergibt. Der WhatsApp-Anteil sucht im Browser nach gespeicherten WhatsApp-Web-Sitzungsdaten, klont das Profil in ein temporäres Verzeichnis und startet heimlich eine Browser-Instanz, die die bestehende Sitzung übernimmt, ohne dass ein QR-Scan nötig ist. Über die eingebundene WPPConnect-Bibliothek werden dann Phishing-Nachrichten mit einem Link zum Trojaner an alle brasilianischen Kontakte versandt, bis zu 3.000 pro Sitzung.
Der Outlook-Anteil nutzt COM-Automatisierung, um Microsofts E-Mail-Client zu steuern. Er liest Kontakte und Inbox-Absender aus und verschickt Phishing-E-Mails über das reale Konto des Opfers mit dem Betreff „NFe disponível para impressão“ („Elektronische Rechnung verfügbar“). Da die Mails von einem echten Account kommen, passieren sie Spam-Filter ohne Probleme.
Einordnung und Risiko:
TCLBANKER gilt laut Elastic als bedeutende Weiterentwicklung der bekannten Malware-Familie MAVERICK/SORVEPOTEL, die von Trend Micro der Gruppe Water Saci zugeordnet wird. Aktuell beschränkt sich die Kampagne auf brasilianische Nutzer. Die Geofencing-Prüfungen auf Sprache, Zeitzone und Tastaturlayout belegen das. Allerdings sind lateinamerikanische Banking-Trojaner in der Vergangenheit regelmäßig auf globale Ziele ausgeweitet worden. Die im Code gefundenen Debug-Artefakte wie Testpfade und eine noch nicht vollständig aufgebaute Phishing-Domain deuten darauf hin, dass sich die Kampagne noch in einem frühen Stadium befindet.