Se ha emitido una alerta cibernética tras el descubrimiento de un sofisticado troyano bancario de origen brasileño denominado TCLBANKER. Investigadores de seguridad de Elastic Security Labs (bajo el seguimiento de la campaña REF3076) advierten que este malware representa una evolución significativa de las familias Maverick y Water Saci. TCLBANKER está diseñado para atacar a usuarios de 59 plataformas financieras, fintech y de criptomonedas. Su característica más alarmante y diferenciadora es la integración de un módulo tipo “gusano” (worm) que secuestra las sesiones activas de WhatsApp Web y Microsoft Outlook de la víctima para auto-propagarse enviando phishing directamente a sus contactos de confianza.
Anatomía del Ataque (Cadena de Infección y Propagación)
El ataque se estructura en fases de evasión técnica profunda, ejecución de fraudes y distribución lateral silenciosa:
- Vector Inicial (Instalador Troyanizado): La infección comienza con la distribución de un archivo ZIP que contiene un instalador MSI malicioso, el cual se disfraza astutamente como software legítimo (se ha observado suplantando a la herramienta “Logi AI Prompt Builder” de Logitech). Utiliza técnicas de carga lateral de bibliotecas (DLL sideloading) para ejecutar su carga útil principal evadiendo las detecciones perimetrales básicas.
- Módulo Bancario y de Fraude (Superposiciones WPF): El troyano monitorea pasivamente la barra de direcciones de los navegadores web del usuario utilizando UI Automation. Si detecta que la víctima accede a uno de los 59 dominios financieros preconfigurados, abre un túnel WebSocket hacia su servidor de Comando y Control (C2). Para ejecutar el robo, despliega interfaces superpuestas a pantalla completa (overlays basados en Windows Presentation Foundation – WPF) diseñadas para engañar al usuario, tales como pantallas falsas de actualización de Windows o ventanas de espera de validación de tokens, mientras el operador cibercriminal realiza transacciones fraudulentas en segundo plano.
- Módulo de Auto-Propagación (Gusano de Redes): * WhatsApp Web: El malware escanea los perfiles del navegador buscando sesiones de WhatsApp activas. Clona las cookies y los datos de almacenamiento local (IndexedDB), extrae la lista de contactos y comienza a distribuir archivos maliciosos de forma automatizada.
- Microsoft Outlook: Emplea la interfaz de automatización COM (Interop) para adjuntarse a la aplicación de correo corporativo local, distribuyendo correos electrónicos fraudulentos directamente desde la bandeja de salida legítima del empleado.
- Evasión Rigurosa (Watchdog): El malware cuenta con un subsistema “perro guardián” que rastrea y finaliza activamente herramientas de ingeniería inversa, depuradores (como x64dbg) y sandboxes, además de realizar comprobaciones para garantizar que la máquina objetivo pertenezca geográficamente a Brasil (GeoID 0x20).
Impacto (Riesgo Financiero y Abuso de Confianza)
- Intervención en Tiempo Real: Las capacidades de acceso remoto del troyano (que incluyen captura de pantalla, intercepción del portapapeles y control de teclado/ratón) garantizan a los operadores humanos una ventana de ataque directa para vaciar cuentas o redirigir fondos de carteras de criptomonedas.
- Destrucción de la Cadena de Confianza (Evasión de SEGs): Al utilizar las cuentas reales de WhatsApp y correos corporativos de la víctima, los mensajes maliciosos heredan la confianza del remitente. Esto hace que el phishing sea casi imposible de bloquear por las Pasarelas de Seguridad de Correo (SEG) tradicionales, acelerando la tasa de infección entre colegas, proveedores y socios comerciales.
Recomendaciones y Mitigación
Los Centros de Operaciones de Seguridad (SOC) y equipos de defensa corporativa deben adoptar una postura proactiva
- Detección Basada en Comportamiento (EDR): Ajustar las políticas del EDR para alertar sobre comportamientos anómalos de automatización vinculados al proceso outlook.exe (vía COM/Interop) o intentos inusuales de lectura de bases de datos IndexedDB y cookies de sesión dentro de las carpetas de perfiles de Chrome, Edge o Firefox.
- Bloqueo de Instaladores No Firmados: Implementar reglas estrictas de Control de Aplicaciones (AppLocker o Windows Defender Application Control) para prevenir la ejecución de archivos MSI o binarios que no cuenten con firmas digitales corporativamente aprobadas, independientemente del nombre del archivo.
- Políticas de Mensajería Personal (Zero Trust): A nivel organizativo, recomendar o forzar el cierre de sesiones web de aplicaciones de mensajería personal (como WhatsApp Web) en equipos de uso crítico, aislando esta superficie de ataque.
- Concienciación Situacional de Empleados: Emitir comunicaciones internas advirtiendo a los colaboradores que no deben confiar ciegamente en enlaces o instaladores, incluso si provienen del correo electrónico o WhatsApp de un colega o superior, fomentando la verificación a través de un canal secundario (como una llamada telefónica o mensaje interno de Slack/Teams) ante cualquier solicitud inusual.
