Malware bancário utiliza o WhatsApp como vetor para atacar usuários brasileiros

Especialistas da empresa de segurança Elastic detectaram uma nova ameaça digital voltada especificamente para o público brasileiro: o TCLBANKER. Este trojan bancário, desenvolvido pelo grupo de cibercriminosos REF3076, utiliza táticas sofisticadas para roubar dados, incluindo a capacidade de se espalhar automaticamente por meio do WhatsApp e do Outlook.

O Método de Infecção

O golpe é aplicado de forma camuflada. A vítima baixa um arquivo compactado (ZIP) acreditando ser o instalador oficial do Logi AI Prompt Builder, uma ferramenta legítima da Logitech. No entanto, ao iniciar a instalação, o software carrega silenciosamente uma DLL maliciosa. Esse arquivo atua como um “falso plugin”, permitindo que o vírus assuma o controle de funções do sistema sem levantar suspeitas imediatas.

Mecanismos de Defesa e Evasão

O TCLBANKER é programado para ser extremamente cauteloso. Antes de iniciar o roubo de dados, ele realiza uma varredura rigorosa na máquina para garantir que não está sendo monitorado por especialistas:

  • Detecção de Análise: O malware verifica se existem ferramentas de segurança ativas ou se o processador apresenta comportamentos típicos de ambientes virtuais de teste.
  • Requisitos de Hardware: Ele só prossegue se encontrar um sistema “real”, com pelo menos 64 GB de espaço em disco e mais de 2 GB de memória RAM.

Foco Total no Brasil

O vírus é cirúrgico em seu alvo. Ele checa se o idioma do sistema operacional é o português do Brasil e se a localização geográfica do dispositivo é em território nacional. Caso o computador não atenda a esses critérios específicos ou detecte que está sob investigação, o malware se desativa automaticamente e apaga seus vestígios.

Apesar de estar em um estágio inicial de operação, o uso de engenharia social em tempo real e a autopropagação pelas redes sociais tornam essa ameaça particularmente perigosa para usuários domésticos e corporativos no país.

WhatsApp