SOC Prime Bias: Médio

08 Mai 2026 18:29
newspaper icon elastic.co

TCLBANKER: Cavalo de Troia Bancário Brasileiro Se Espalhando via WhatsApp e Outlook

Author Photo
SOC Prime Team linkedin icon Seguir
TCLBANKER: Cavalo de Troia Bancário Brasileiro Se Espalhando via WhatsApp e Outlook
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

O relatório examina o TCLBANKER, um trojan bancário brasileiro recém-identificado que usa um instalador assinado da Logitech para entregar uma carga útil maliciosa em .NET. O malware inclui um componente bancário que utiliza sobreposições WPF para atacar sessões financeiras, juntamente com dois módulos semelhantes a worm que abusam do WhatsApp Web e do Microsoft Outlook para propagação. A comunicação de comando e controle é realizada através da infraestrutura WebSocket do Cloudflare Workers, e o malware incorpora uma vasta gama de técnicas de anti-análise para frustrar a detecção e investigação.

Investigação

O Laboratório de Segurança da Elastic analisou o pacote MSI malicioso, o método de carregamento de DLL, o carregador .NET e ambos os módulos de propagação. Pesquisadores recuperaram URLs de comando e controle, chaves de API, detalhes de persistência de tarefas agendadas e uma lista de 59 domínios bancários brasileiros visados pelo malware. Sua análise também documentou lógica anti-debugging, métodos de evasão de sandbox e comportamento de watchdog projetado para manter o malware ativo e resiliente.

Mitigação

Os defensores devem bloquear a execução de instaladores não confiáveis, monitorar o carregamento de DLLs envolvendo LogiAiPromptBuilder.exe, e aplicar controles de menor privilégio aos ambientes do Outlook e do navegador. O conteúdo de detecção também deve cobrir a tarefa agendada RuntimeOptimizeService. As defesas de rede devem bloquear os domínios identificados do Cloudflare Workers e o endereço IP 191.96.224.96.

Resposta

Se o TCLBANKER for detectado, isole o ponto final afetado imediatamente, encerre os processos maliciosos, remova a tarefa agendada e exclua o diretório %LocalAppData%LogiAI . Os investigadores devem preservar evidências forenses como hashes de DLL e tráfego de comando e controle para compartilhamento de inteligência. As credenciais comprometidas do Outlook e do WhatsApp devem ser redefinidas, e o ambiente deve ser monitorado para tentativas adicionais de propagação.

graph TB %% Secção de definições de classes classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef persistence fill:#ccccff classDef c2 fill:#ffdd99 %% Nós user_execution[“<b>Ação</b> – <b>T1204.002 Execução pelo utilizador</b><br/>A vítima executa o MSI malicioso após o extrair do ZIP”] class user_execution action delivery_zip[“<b>Ação</b> – <b>T1546.016 Execução acionada por evento: pacotes de instalação</b><br/>MSI malicioso entregue dentro de um ZIP usando um instalador assinado da Logitech”] class delivery_zip action malicious_msi[“<b>Malware</b> – <b>Nome</b>: MSI malicioso<br/><b>Descrição</b>: Embutido no ZIP e executado por instalador assinado”] class malicious_msi malware signed_logitech_installer[“<b>Ferramenta</b> – <b>Nome</b>: Instalador Logitech Logi AI Prompt Builder (assinado)”] class signed_logitech_installer tool logiai_exe[“<b>Processo</b> – <b>Nome</b>: LogiAiPromptBuilder.exe”] class logiai_exe process sideloader_dll[“<b>Malware</b> – <b>Nome</b>: screen_retriever_plugin.dll (disfarça-se como plugin Flutter)”] class sideloader_dll malware flutter_framework[“<b>Ferramenta</b> – <b>Nome</b>: Flutter framework (utilitário de desenvolvimento confiável)”] class flutter_framework tool dotnet_reactor[“<b>Ferramenta</b> – <b>Nome</b>: .NET Reactor packer”] class dotnet_reactor tool polymorphic_payload[“<b>Malware</b> – <b>Nome</b>: Payload cifrado com AES-256<br/>Chave dependente do ambiente fornece comportamento polimórfico”] class polymorphic_payload malware env_evasion[“<b>Ação</b> – <b>T1497.002 Evasão de virtualização/sandbox</b><br/>Verificações de atividade do utilizador, debugger, virtualização e região”] class env_evasion action locale_check[“<b>Ação</b> – <b>T1614.001 Descoberta de localização do sistema</b><br/>Verifica LCID, layout de teclado e fuso horário para pt-BR”] class locale_check action scheduled_task[“<b>Persistência</b> – <b>T1053 Tarefa agendada</b><br/>Cria tarefa oculta RuntimeOptimizeService no login”] class scheduled_task persistence screen_capture[“<b>Ação</b> – <b>T1113 Captura de ecrã</b><br/>Captura PNG de ecrã completo por monitor para overlay e streaming”] class screen_capture action keylogging[“<b>Ação</b> – <b>T1056.001 Captura de entrada: keylogging</b><br/>Instala hook de baixo nível WH_KEYBOARD_LL”] class keylogging action outlook_bot[“<b>Malware</b> – <b>Nome</b>: Bot de automação COM do Outlook”] class outlook_bot malware phishing_action[“<b>Ação</b> – <b>T1566 Phishing</b><br/>Envia emails de phishing a partir da conta Outlook da vítima”] class phishing_action action email_bombing[“<b>Ação</b> – <b>T1667 Bombardeamento de email</b><br/>Phishing em alto volume para contactos recolhidos”] class email_bombing action network_logon_script[“<b>Ação</b> – <b>T1037.003 Script de início de sessão de rede</b><br/>Estabelece ligação WebSocket persistente”] class network_logon_script action websocket_c2[“<b>Comando e Controlo</b> – <b>Endpoint</b>: wss://mxtestacionamentos.com/ws<br/><b>Autenticação</b>: HMAC-SHA256”] class websocket_c2 c2 %% Ligações user_execution –>|aciona| delivery_zip delivery_zip –>|contém| malicious_msi malicious_msi –>|executado por| signed_logitech_installer signed_logitech_installer –>|lança| logiai_exe logiai_exe –>|carrega| sideloader_dll sideloader_dll –>|usa| flutter_framework sideloader_dll –>|empacotado com| dotnet_reactor sideloader_dll –>|contém| polymorphic_payload polymorphic_payload –>|evasão via| env_evasion env_evasion –>|inclui| locale_check logiai_exe –>|cria| scheduled_task logiai_exe –>|captura| screen_capture logiai_exe –>|regista teclas| keylogging logiai_exe –>|executa| outlook_bot outlook_bot –>|executa| phishing_action outlook_bot –>|executa| email_bombing logiai_exe –>|estabelece| network_logon_script network_logon_script –>|liga a| websocket_c2

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Telemetria & Verificação de Pré-voo de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um erro de diagnóstico.

  • Narrativa e Comandos de Ataque:

    1. Estabelecer o DLL malicioso – o atacante coloca um DLL malicioso (evil.dll) no mesmo diretório que o legítimo LogiAiPromptBuilder.exe. O DLL não é assinado e contém a carga útil do trojan bancário.
    2. Executar o binário legítimo – o atacante executa LogiAiPromptBuilder.exe diretamente do Explorer (ou de uma sessão do PowerShell), fazendo com que o processo carregue o DLL malicioso através da ordem de busca de DLL do sistema operacional (carregamento acidental).
    3. Telemetria resultante – O Sysmon/Event ID 1 registra uma criação de processo onde Imagem termina com logiaipromptbuilder.exe and Imagem Pai termina com explorer.exe. Como o pai está not na lista de exclusão, a regra Sigma deve disparar.

  • Script de Teste de Regressão:

    # -------------------------------------------------------------------------
# Simulação de carregamento acidental de DLL para TCLBANKER – PowerShell
# -------------------------------------------------------------------------
# 1. Definir caminhos (ajuste se estiver executando em uma estação de trabalho diferente)
$logiPath = "$env:ProgramFilesLogitechLogiAiPromptBuilder.exe"
$dllPath  = "$env:ProgramFilesLogitechevil.dll"

# 2. Criar um DLL malicioso de exemplo (para fins de demonstração, apenas uma cópia do Bloco de Notas)
Write-Host "[+] Estabelecendo DLL malicioso (carga simulada)..."
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $dllPath -Force

# 3. Lançar o binário legítimo (o pai será o processo atual do PowerShell)
Write-Host "[+] Executando LogiAiPromptBuilder.exe para disparar o carregamento acidental..."
Start-Process -FilePath $logiPath -PassThru | Wait-Process

# 4. Opcional: Verifique se o processo foi registrado (requer acesso Sysmon/ELK)
Write-Host "[+] Simulação completa. Verifique o SIEM para detecção."

  • Comandos de Limpeza:

    # -------------------------------------------------------------------------
# Limpeza para simulação TCLBANKER
# -------------------------------------------------------------------------
$dllPath = "$env:ProgramFilesLogitechevil.dll"
if (Test-Path $dllPath) {
    Write-Host "[+] Removendo DLL malicioso estabelecido..."
    Remove-Item -Path $dllPath -Force
}
Write-Host "[+] Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente