TCLBANKER kapert WhatsApp und Outlook für Bankenangriffe : Brasilianischer Banking-Trojaner zielt auf 59 Finanz- und Kryptoplattformen

Der von Elastic Security Labs als REF3076 verfolgte Angriff zeigt, wie stark sich brasilianische Banking-Malware weiterentwickelt hat. TCLBANKER gilt als umfassendes Update der Malware-Familie Maverick, die bereits durch den Wurm SORVEPOTEL bekannt wurde. Diese frühere Variante verbreitete sich über WhatsApp Web an Kontakte der Opfer und wird dem von Trend Micro als Water Saci bezeichneten Bedrohungscluster zugeschrieben.

Einstieg über manipuliertes Installationspaket

Die Infektionskette beginnt mit einer ZIP-Datei, die ein bösartiges Microsoft Software Installer-Paket (MSI) enthält. Laut den Sicherheitsforschern Jia Yu Chan, Daniel Stepanic, Seth Goodwin und Terrance DeJesus missbrauchen diese Pakete ein signiertes Logitech-Programm namens Logi AI Prompt Builder. Der Angriff nutzt dabei Dynamic Link Library Side-Loading (DLL Side-Loading): Eine legitime Anwendung lädt eine manipulierte Bibliothek mit dem Namen „screen_retriever_plugin.dll“.

Diese DLL agiert als Loader und bringt ein ausgefeiltes Überwachungssystem mit. Es sucht laufend nach Analysewerkzeugen, Sandboxes, Debuggern, Disassemblern, Instrumentierungswerkzeugen und Antivirenprogrammen. Die Schadsoftware startet nur, wenn sie von „logiaipromptbuilder.exe“ oder „tclloader.exe“ geladen wurde. Letzteres dürfte auf ein Testprogramm der Entwickler hindeuten.

Anti-Analyse bis in die Windows-Telemetrie

Der Loader geht ungewöhnlich tief gegen Schutzmechanismen vor. Er entfernt Usermode-Hooks von Sicherheitssoftware in der Windows-Bibliothek „ntdll.dll“, ersetzt die Bibliothek und deaktiviert Event Tracing for Windows (ETW). Damit reduziert TCLBANKER die Sichtbarkeit gegenüber Endpoint-Security-Werkzeugen.

Zusätzlich erzeugt die Malware drei Fingerabdrücke: aus Anti-Debugging- und Anti-Virtualisierungsprüfungen, aus Informationen zur Systemfestplatte und aus Spracheinstellungen. Daraus entsteht ein Umgebungs-Hash, der zum Entschlüsseln der eingebetteten Nutzlast dient. Ist ein Debugger aktiv oder passt die Umgebung nicht, entsteht ein falscher Hash; der Trojaner kann seine Nutzlast nicht entschlüsseln und beendet sich. Auch die Standardsprache wird geprüft: Zielsysteme müssen brasilianisches Portugiesisch verwenden.

Banking-Trojaner mit Browser-Überwachung

Nach den Prüfungen startet die Hauptkomponente. Sie kontrolliert erneut, ob sie auf einem brasilianischen System läuft, richtet Persistenz über eine geplante Aufgabe ein und sendet per Hypertext Transfer Protocol (HTTP) grundlegende Systeminformationen an einen externen Server.

Besonders gefährlich ist der URL-Monitor. TCLBANKER liest über UI Automation die aktuelle Adresse aus dem aktiven Browser aus. Betroffen sind Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera und Vivaldi. Stimmen die URLs mit einer fest hinterlegten Liste von Banken, Fintechs oder Kryptoplattformen überein, baut die Malware eine WebSocket-Verbindung zum Kontrollserver auf.

Danach können Angreifer umfangreiche Befehle ausführen:

• Shell-Befehle ausführen
• Screenshots erstellen
• Bildschirmstreaming starten und stoppen
• Zwischenablage manipulieren
• Keylogger starten
• Maus und Tastatur fernsteuern
• Dateien und Prozesse verwalten
• Laufende Prozesse auflisten
• Sichtbare Fenster erfassen
• Gefälschte Overlays zum Diebstahl von Zugangsdaten anzeigen

Für den Datendiebstahl nutzt TCLBANKER ein Vollbild-Overlay auf Basis der Windows Presentation Foundation (WPF). Damit kann die Malware gefälschte Anmeldedialoge, Vishing-Wartebildschirme, falsche Fortschrittsbalken und angebliche Windows-Updates einblenden. Gleichzeitig werden diese Overlays vor Bildschirmaufnahme-Werkzeugen verborgen.

Verbreitung über echte Konten der Opfer

Parallel ruft der Loader ein Wurm-Modul auf. Es verbreitet den Trojaner über zwei Kanäle: WhatsApp Web und Microsoft Outlook. Der WhatsApp-Wurm übernimmt authentifizierte Browser-Sitzungen, lädt Nachrichtenvorlagen vom Server und automatisiert den Versand mithilfe des Open-Source-Projekts WPPConnect. Gruppen, Broadcasts und nicht-brasilianische Nummern werden herausgefiltert.

Der Outlook-Agent missbraucht die lokal installierte Outlook-Anwendung, um Phishing-Mails direkt aus dem Konto des Opfers zu verschicken. Dadurch wirken die Nachrichten vertrauenswürdiger und umgehen viele reputationsbasierte Schutzmechanismen. Ein Elastic-Sprecher bringt das Risiko auf den Punkt: TCLBANKER könne bis zu 3.000 Kontakte mit dem manipulierten Installer anschreiben – „aus den eigenen Konten des Opfers, über dessen eigene Kontakte, über legitime Infrastruktur“.

Commodity-Crimeware wird professioneller

REF3076 scheint sich noch in einer frühen Phase zu befinden. Im Code fanden sich Debug-Pfade, Testprozessnamen und eine unvollständige Phishing-Seite. Dennoch zeigt die Kampagne bereits, wohin sich Banking-Malware entwickelt.

Elastic sieht darin eine Reifung des brasilianischen Trojaner-Ökosystems: Techniken wie umgebungsabhängige Payload-Entschlüsselung, direkte Systemaufrufe und Social Engineering in Echtzeit über WebSocket seien früher eher fortgeschrittenen Akteuren vorbehalten gewesen. Nun würden sie in gewöhnliche Crimeware verpackt. Für Unternehmen heißt das: Klassische E-Mail-Gateways und reputationsbasierte Filter reichen nicht mehr aus, wenn Malware über echte Konten, echte Kontakte und legitime Plattformen verteilt wird.