TCLBANKER попадает на компьютер через троянизированный MSI-установщик, оформленный под легитимную утилиту Logitech. Внутри находится вредоносная DLL-библиотека. Она запускается через DLL side-loading — приём, при котором вредоносный код подсовывают рядом с нормальным приложением, а Windows загружает его в доверенный процесс. Для пользователя всё выглядит как обычная установка программы, а вредоносная часть стартует за кадром.
Elastic считает TCLBANKER крупным развитием семейства MAVERICK/SORVEPOTEL. Это продолжение линии латиноамериканских банковских троянов, которые уже использовали WhatsApp для массовой доставки. В 2025 году Sophos фиксировала похожую кампанию через WhatsApp Web: заражённые аккаунты рассылали вредоносные архивы контактам, а полезная нагрузка была заточена под банки и криптовалютные сервисы Бразилии.
У нового трояна две основные части. Первая отвечает за банковское мошенничество. Она проверяет среду, отсекает песочницы и машины аналитиков, смотрит язык, регион, раскладку клавиатуры и часовой пояс. Для запуска вредоносной логики системе нужны признаки Бразилии: регион BR, язык Бразилии, бразильская раскладка или подходящий часовой пояс. Такой геофильтр снижает шум и мешает исследователям быстро воспроизвести атаку вне целевого региона.
Вторая часть — модуль-червь. Он превращает заражённый компьютер в точку распространения. В WhatsApp сценарий выглядит так: троян ищет профили Chromium-браузеров — Chrome, Edge, Brave, Opera и Vivaldi — с активной сессией WhatsApp Web. Затем копирует нужные файлы профиля, включая cookies, Local Storage, Session Storage и IndexedDB, запускает отдельный headless-браузер через Selenium WebDriver и пытается восстановить сессию без повторного сканирования QR-кода.
После успешного входа вредоносная программа подгружает библиотеку автоматизации WhatsApp, получает список контактов и начинает рассылку. Группы, списки рассылки и небразильские номера фильтруются. Оператор может удалённо ставить кампанию на паузу или запускать повторную отправку, а сам троян отчитывается перед управляющим сервером о ходе рассылки.
Outlook используется по похожей логике, но уже для деловой среды. Если почтовый клиент не запущен, вредоносная программа пытается найти и открыть OUTLOOK.EXE, затем подключается к нему через COM-автоматизацию. После этого собирает адреса из контактов и старых писем, формирует фишинговые письма и отправляет их через настоящий почтовый аккаунт жертвы. Для получателей такое письмо выглядит опаснее обычного спама: оно приходит от знакомого человека или компании, с которыми уже была переписка.
Фишинговые сообщения написаны на португальском и имитируют обычные деловые документы: счета, электронные налоговые документы, коммерческие предложения. В конфигурации, опубликованной Elastic, встречается тема про доступную для печати электронную накладную NFe. Для Бразилии это понятная приманка: такие документы регулярно ходят между компаниями, бухгалтерами, поставщиками и клиентами.
Банковская часть TCLBANKER следит за адресной строкой браузера через Windows UI Automation. Проверка идёт каждую секунду. Когда пользователь открывает один из 59 целевых сайтов банков, финтех-сервисов или криптовалютных платформ, троян устанавливает WebSocket-соединение с управляющим сервером и передаёт данные о машине, пользователе и открытом домене.
Дальше в дело вступают операторы. У них есть удалённые команды для снимков экрана, трансляции экрана, управления мышью и клавиатурой, запуска кейлоггера, перехвата буфера обмена, выполнения команд через cmd.exe, перезагрузки системы и закрытия процессов. Такой набор превращает банковский троян в инструмент ручного мошенничества, а не просто в сборщик паролей.
Самая неприятная часть — полноэкранные накладки. TCLBANKER использует WPF-интерфейс для показа поддельных окон поверх реального рабочего стола. Накладка может имитировать банковский экран, окно ожидания звонка, зависшее обновление Windows или рамку вокруг настоящего приложения. Пользователь думает, что взаимодействует с обычным процессом, а оператор в это время управляет сценарием и получает нужные данные. Elastic отдельно отмечает, что накладки могут скрываться от средств захвата экрана.
Инфраструктура кампании завязана на Cloudflare Workers. Там размещались управляющие адреса, файловый сервер и элементы доставки. Elastic нашла несколько доменов, подготовленных под фишинг: часть имитировала документы, часть — бразильские сервисы для бизнеса. Один из доменов был создан 15 апреля 2026 года и на момент анализа ещё не работал полноценно, поэтому исследователи считают кампанию ранней или всё ещё разворачиваемой.
BleepingComputer также отмечает сильную защиту от анализа: проверку песочниц, отладчиков, инструментов вроде x64dbg, IDA, Ghidra, dnSpy, Frida и ProcessHacker. Elastic нашла в коде артефакты разработки и признаки того, что часть кода могла писаться с помощью ИИ-инструментов, но это не главный фактор опасности. Главный фактор — доверенная доставка: вредоносная ссылка приходит из настоящего WhatsApp или Outlook жертвы.
Для пользователей за пределами Бразилии риск сейчас ниже: троян явно проверяет локаль и регион. Но похожие семейства уже расширяли географию, а схема доставки универсальна. Если вредоносный код умеет воровать сессии WhatsApp Web и рассылать письма из Outlook, его можно быстро переделать под другие языки, банки и документы.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
