Новый бразильский банковский троян TCLBANKER использует полнозкранные оверлеи и самораспространение через WhatsApp и Outlook

Заражение начинается с ZIP-архива, содержащего MSI-установщик. Установщик использует подписанную программу Logitech - Logi AI Prompt Builder. Вредоносная DLL screen_retriever_plugin.dll маскируется под легитимный плагин Flutter и загружается автоматически при запуске основного приложения. Это типичный приём подмены DLL (DLL side-loading), позволяющий обойти контроль целостности.

Загрузчик TCLBANKER оснащён обширным набором защитных функций. Он проверяет, из какого процесса загружена DLL: выполнение разрешено только для logiaipromptbuilder.exe и тестового tclloader.exe. Запуск через rundll32.exe, regsvr32.exe или svchost.exe блокируется. Затем вредонос заменяет библиотеку ntdll.dll из системного каталога для удаления пользовательских перехватчиков и генерирует собственные переходы к системным вызовам (syscall) для ключевых функций. Это позволяет обходить хуки антивирусов. Также патчится функция EtwEventWrite, отключая телеметрию Event Tracing for Windows на пользовательском уровне. Отчёт Elastic описывает и механизм "условного дешифрования": загрузчик вычисляет хеш окружения на основе проверок антиотладки, сведений о системе и языке. Если хеш не совпадает с ожидаемым (например, в песочнице или под отладчиком), полезная нагрузка не расшифровывается, и программа завершается. В состав загрузчика входит сторожевой поток (watchdog), который непрерывно сканирует наличие инструментов анализа: отладчиков, дизассемблеров, фреймворков для инструментирования и антивирусов. При обнаружении любой из этих программ троян немедленно прекращает работу.

Основной модуль Tcl.Agent представляет собой банковский троян. Каждую секунду он считывает адресную строку активного браузера через UI Automation (автоматизацию пользовательского интерфейса). Список целевых сайтов включает 59 бразильских банков, финтех-сервисов и криптовалютных бирж. Как только жертва заходит на один из отслеживаемых ресурсов, троян устанавливает WebSocket-соединение с командным сервером (C2) и передаёт идентификатор цели. Далее оператор может удалённо управлять заражённой машиной. Набор команд включает захват экрана, управление мышью и клавиатурой, запуск кейлоггера, выполнение команд оболочки, манипуляции с окнами и, самое главное, полнозкранные оверлеи.

Оверлейная система выполнена на базе WPF (Windows Presentation Foundation) и представляет собой одноимённое окно на весь экран для каждого монитора. Окно скрыто от панели задач, блокирует Alt+F4 и любые попытки закрытия. Поверх оверлея отображается "замороженный" снимок рабочего стола, созданный в момент запуска. Троян каждые 500 миллисекунд принудительно поднимает окно на передний план. Также реализована защита от захвата экрана: через SetWindowDisplayAffinity с флагом WDA_EXCLUDEFROMCAPTURE оверлей становится невидимым для программ скриншотов, но при этом оператор видит его через собственную команду снятия скриншота.

Оператор может выводить на оверлей пять типов контента: запрос учётных данных (с поддержкой режимов ввода номера телефона, виртуальной клавиатуры для PIN и обычного текста), экран ожидания с анимацией "мы связываемся с вами" (для последующего вишинга - мошеннического звонка от имени банка), экран фиктивных "шагов обработки" на 15 минут, фальшивый экран обновления Windows (синий фон с индикатором прогресса) и "вырезанное окно" - прямоугольная область, в которой отображается реальное приложение (например, страница банка). Таким образом жертва видит настоящий сайт, окружённый мошенническим интерфейсом, и вводит данные под диктовку злоумышленника.

Модуль распространения состоит из двух агентов. Первый - бот для WhatsApp. Он находит на компьютере жертвы Chromium-браузеры и проверяет, есть ли активная сессия WhatsApp Web. Если сессия обнаружена, троян клонирует профиль браузера во временную папку и запускает скрытый экземпляр Chrome через Selenium WebDriver. С помощью встроенной JavaScript-библиотеки WPPConnect он перехватывает управление сессией, обходит антибот-защиту и начинает рассылать спам-сообщения с вредоносной ссылкой всем контактам жертвы, исключая группы и номера не из Бразилии. Второй агент - почтовый бот для Microsoft Outlook. Если Outlook установлен, троян прикрепляется к его процессу через COM-интерфейс, собирает адреса из контактов и входящих писем, после чего отправляет фишинговые письма с темой "Нота" и ссылкой на скачивание вредоносного MSI.

Вся инфраструктура управления и доставки развёрнута на Cloudflare Workers в рамках одной учётной записи. Командные серверы, серверы распространения и фишинговые страницы используют поддомены workers.dev. Исследователи обнаружили несколько фишинговых доменов, зарегистрированных в апреле 2026 года: arquivos-omie.com (имитирует популярную бразильскую ERP-систему), documentos-online.com, doccompartilhe.com и другие. Один из них на момент анализа находился в состоянии тестирования (надпись "ведутся технические работы"). Кроме того, в коде найдены отладочные пути (C:\temp\tcl-debug.txt) и тестовые имена процессов, что указывает на раннюю стадию развития кампании.

Выводы специалистов таковы: TCLBANKER демонстрирует зрелость экосистемы бразильских банковских троянов. Методы, ранее считавшиеся прерогативой сложных APT-группировок - условное дешифрование, прямые системные вызовы, социальная инженерия через WebSocket в реальном времени - теперь упаковываются в товарное вредоносное ПО. Возможность самораспространения через взломанные сессии WhatsApp и Outlook резко увеличивает охват атаки, делая её практически незаметной для традиционных шлюзов электронной почты. Учитывая доступность больших языковых моделей для генерации кода, можно ожидать, что подобные кампании будут только множиться.

Domains

• afonsoferragista.com
• arquivos-omie.com
• campanha1-api.ef971a42.workers.dev
• doccompartilhe.com
• documentos-online.com
• documents.ef971a42.workers.dev
• mxtestacionamentos.com
• recebamais.com

SHA256

• 63beb7372098c03baab77e0dfc8e5dca5e0a7420f382708a4df79bed2d900394
• 668f932433a24bbae89d60b24eee4a24808fc741f62c5a3043bb7c9152342f40
• 701d51b7be8b034c860bf97847bd59a87dca8481c4625328813746964995b626
• 8a174aa70a4396547045aef6c69eb0259bae1706880f4375af71085eeb537059