TCLBANKER transforma cada vítima em novo atacante

A Elastic Security Labs revelou em 7 de maio de 2026 o TCLBANKER, um trojan bancário brasileiro que representa a evolução da família Maverick/SORVEPOTEL. A campanha, codinome REF3076, mira 59 plataformas financeiras, incluindo bancos, fintechs e corretoras de criptomoedas.

O ataque começa com um arquivo ZIP distribuído por WhatsApp ou e-mail. Dentro dele, um instalador MSI abusa do programa legítimo Logi AI Prompt Builder, da Logitech, usando DLL side-loading para executar o payload sem disparar alarmes. O malware emprega um sistema de watchdog que monitora a presença de ferramentas de análise e antivírus, permanecendo inativo se detectar um ambiente hostil.

Uma vez ativo, o TCLBANKER vasculha a barra de endereço do navegador a cada segundo. Ao identificar um dos domínios visados, estabelece uma conexão WebSocket com o servidor de comando e controle e entrega ao operador controle remoto total, incluindo captura de senhas, tokens de autenticação e sobreposição de telas falsas de login e de atualização do Windows.

O grande diferencial está na propagação autônoma. O worm do WhatsApp sequestra sessões autenticadas do WhatsApp Web e envia o arquivo malicioso diretamente da conta da vítima para seus contatos. O módulo do Outlook usa automação COM para disparar e-mails de phishing a partir do próprio cliente de e-mail corporativo, explorando a credibilidade da empresa para se multiplicar.

▌ CYBERPROTEC INTELIGÊNCIA

O TCLBANKER elimina a separação entre vítima e vetor de ataque. Cada computador infectado se torna um ponto de partida para novas infecções, usando a confiança de colegas, clientes e parceiros para se propagar. O Outlook corporativo emitindo e-mails maliciosos coloca a credibilidade da empresa em jogo. Os planos da CyberProtec incluem proteção para e-mail e nuvem, além de detecção comportamental que atua contra ameaças como essa antes que a operação se transforme em plataforma de distribuição de malware.