TCLBanker è il nome di un nuovo trojan bancario che sta facendo parlare di sé per un motivo piuttosto inquietante: si propaga attraverso WhatsApp e Outlook, sfruttando la fiducia che le persone ripongono nei messaggi ricevuti dai propri contatti. Scoperto dai ricercatori di Elastic Security Labs, questo malware per Windows prende di mira banche, società fintech e piattaforme di criptovalute, con un meccanismo di diffusione che lo rende particolarmente insidioso. Al momento le vittime si concentrano soprattutto in Brasile, ma nulla esclude che il raggio d’azione possa allargarsi presto ad altri paesi.
Come funziona TCLBanker e perché è così pericoloso
Il punto di partenza dell’infezione è una versione compromessa dell’installer MSI del software Logi AI Prompt Builder, contenuta in un archivio ZIP. Non è ancora chiaro con precisione come questo file arrivi sui computer delle vittime, anche se l’ipotesi più probabile riguarda siti web fasulli creati apposta per ingannare chi cerca quel programma. Una volta eseguito, il modulo loader di TCLBanker verifica di non trovarsi in una sandbox, in un ambiente di virtualizzazione o sotto l’occhio di strumenti di analisi del codice. Superati questi controlli, carica il malware in memoria utilizzando la tecnica nota come DLL sideloading.
Il cuore dell’operazione è il modulo chiamato Tcl.agent. Questo componente si installa in modo da avviarsi automaticamente insieme a Windows, garantendosi così la persistenza nel sistema. Da quel momento in poi, monitora costantemente la barra degli indirizzi di tutti i principali browser: Chrome, Firefox, Microsoft Edge, Brave, Opera e Vivaldi. L’obiettivo è intercettare l’accesso a 59 domini specifici, tutti collegati a banche, fintech e piattaforme crypto. Quando rileva una corrispondenza, TCLBanker contatta un server di comando e controllo (C2), al quale trasmette informazioni sul sistema infettato e dal quale riceve istruzioni per compiere una serie di operazioni: registrare i tasti premuti tramite keylogging, catturare screenshot, accedere agli appunti e ai file, visualizzare lo schermo in tempo reale e controllare mouse e tastiera da remoto.
A quel punto il trojan bancario mostra schermate fasulle personalizzate in base al dominio rilevato. Le vittime, convinte di trovarsi su pagine legittime, inseriscono credenziali di accesso, PIN, numeri di telefono e altri dati sensibili senza sospettare nulla.
La propagazione via WhatsApp e Outlook
La parte forse più subdola di TCLBanker riguarda il secondo modulo, chiamato Tcl.WppBot. Si tratta di un worm progettato per accedere alle sessioni attive di WhatsApp Web e all’app Outlook sul computer infetto. In entrambi i casi, il malware prende il controllo degli account e invia messaggi o email ai contatti della vittima. Chi riceve queste comunicazioni non ha motivo di diffidare, perché il mittente risulta essere una persona conosciuta e affidabile. Il messaggio contiene ovviamente un link o un file che porta al download della versione infetta dell’installer di Logi AI Prompt Builder, innescando così un ciclo di propagazione potenzialmente molto rapido.
È proprio questo meccanismo a rendere TCLBanker diverso da tanti altri malware in circolazione. Non serve una campagna di phishing massiva né l’acquisto di spazi pubblicitari truffaldini: basta un singolo dispositivo compromesso per trasformare la rubrica di WhatsApp e la lista contatti di Outlook in un canale di distribuzione automatico. Gli attacchi risultano ancora attivi, il che significa che prestare la massima attenzione ai file ricevuti, anche da contatti fidati, resta al momento l’unica vera precauzione possibile.
