TCLBanker: Un Trojan Bancario Si Diffonde Attraverso WhatsApp Recentemente, i ricercatori di Elastic Security Labs hanno individuato un nuovo malware per Windows, conosciuto come TCLBanker. Questo tipo di software malevolo è progettato per colpire sia istituti bancari che piattaforme di…
TCLBanker: Un Trojan Bancario Si Diffonde Attraverso WhatsApp
Recentemente, i ricercatori di Elastic Security Labs hanno individuato un nuovo malware per Windows, conosciuto come TCLBanker. Questo tipo di software malevolo è progettato per colpire sia istituti bancari che piattaforme di fintech e criptovalute, utilizzando metodi di propagazione piuttosto ingegnosi, tra cui servizi popolari come WhatsApp e Outlook. Sebbene le vittime principali siano identificate in Brasile, gli esperti avvertono che questo trojan potrebbe estendersi rapidamente anche ad altri paesi, inclusa l’Italia, mettendo in pericolo un numero crescente di utenti.
Funzioni e Modalità di Propagazione di TCLBanker
TCLBanker viene veicolato attraverso una versione compromessa di un installer MSI del software Logi AI Prompt Builder, spesso disponibile in archivi ZIP. Le modalità attraverso le quali questo malware riesce a infiltrarsi nei computer delle vittime rimangono al momento sconosciute, ma è altamente probabile che provenga da siti web ingannevoli. Una volta installato, il trojan verifica la mancanza di ambienti di sicurezza, come sandbox o strumenti di analisi del codice, prima di avviarsi nel sistema.
Il componente principale, identificato come Tcl.agent, si attiva all’accensione del computer e ha la capacità di monitorare l’attività nella barra degli indirizzi di vari browser, tra cui Chrome, Firefox, Microsoft Edge e altri. TCLBanker è programmato per tenere d’occhio i domini di 59 obiettivi, gli stessi che rappresentano banche e fintech. Una volta identificati, il malware stabilisce una connessione con un server di comando e controllo, da cui invia informazioni sul sistema infettato e riceve istruzioni. Tra le sue funzioni più preoccupanti ci sono il keylogging, la cattura di screenshot e il controllo remoto di mouse e tastiera, offrendo ai criminali informatici un accesso quasi totale ai dati delle vittime.
Le Tecniche di Inganno
Una volta ottenuto l’accesso necessario, TCLBanker mostra schermate false in base ai domini già identificati. Gli utenti, ingannati dalla verosimiglianza di queste interfacce, possono inserire senza sospetti le proprie credenziali bancarie, PIN, numeri di telefono e altre informazioni personali. La seconda parte del malware, il Tcl.WppBot, funziona come un worm che sfrutta sessioni di WhatsApp Web e l’app Outlook. Attraverso questo modulo, i malintenzionati sono in grado di prendere pieno controllo degli account delle vittime, inviando messaggi ai contatti in modo tale da sembrare un mittente legittimo.
Questo meccanismo di propagazione è allarmante, poiché se i contatti riceveranno messaggi genuini, potrebbero a loro volta scaricare la versione infetta dell’installer, creando un effetto a catena. Attualmente, gli attacchi sembrano essere in fase attiva, sottolineando l’importanza di mantenere alta la guardia su quali file si scelgono di scaricare e installare.
Conclusione: Una Chiamata alla Vigilanza
La minaccia di TCLBanker evidenzia la crescente vulnerabilità degli utenti, anche nel contesto italiano, dove l’uso di strumenti digitali è in costante aumento. È fondamentale adottare misure di sicurezza come l’uso di software antivirus aggiornati e di sistemi di autenticazione a due fattori. Gli utenti devono essere consapevoli delle possibili truffe e saper riconoscere segnali di allerta, come link sospetti e comunicazioni inesperte. In un’epoca in cui la cybersicurezza è più critica che mai, la formazione e la prudenza rimangono le migliori difese contro le minacce informatiche.
