Introducción
Los hackers están atacando a 59 plataformas bancarias, fintech y de criptomonedas, propagándose a través de aplicaciones populares como WhatsApp y Outlook. Un troyano denominado TCLBanker está afectando sistemas Windows mediante paquetes de instalación de Microsoft contaminados, según informa BleepingComputer. Este malware fue descubierto por Elastic Security Labs, cuyos investigadores consideran que representa una evolución significativa de las antiguas familias de malware Maverick y Sorvepotel.
Características del Malware
El informe indica que TCLBanker verifica los dispositivos infectados en función de la zona horaria, el diseño del teclado y la configuración regional. El malware incluye módulos de gusano que le permiten propagarse automáticamente a través de WhatsApp y Microsoft Outlook. Una vez que se accede a un sitio objetivo, TCLBanker establece una sesión WebSocket con su servidor de comando y control, comenzando así las operaciones de control remoto.
Capacidades del Operador
Las capacidades del operador del malware incluyen:
- Transmisión de pantalla en vivo
- Capturas de pantalla
- Registro de teclas
- Secuestro del portapapeles
- Ejecución de comandos de shell
- Acceso al sistema de archivos
- Control remoto del mouse y teclado
Además, TCLBanker utiliza pantallas de superposición falsas para recopilar credenciales, PINs, números de teléfono y otra información sensible. Estas superposiciones pueden incluir:
- Mensajes de credenciales falsas
- Teclados numéricos de PIN
- Pantallas de espera de soporte bancario
- Pantallas de actualización de Windows
- Pantallas de progreso engañosas
Enfoque Geográfico
BleepingComputer señala que TCLBanker parece estar enfocándose en aplicaciones en Brasil y monitorea la barra de direcciones del navegador de una víctima cada segundo, observando las visitas a una de sus 59 plataformas objetivo.
