El malware TCLBANKER se dirige a los usuarios a través de módulos de gusanos autopropagantes de WhatsApp y Outlook

Un troyano bancario brasileño altamente sofisticado llamado TCLBANKER, rastreado bajo la campaña REF3076, este malware representa una actualización importante para las antiguas familias Maverick y SORVEPOTEL. Se destaca porque utiliza un instalador falso firmado de Logitech para infectar sistemas y se propaga automáticamente a través de WhatsApp y Microsoft Outlook.

Dentro de este archivo hay un instalador que abusa de un programa Logitech real firmado digitalmente llamado Logi AI Prompt Builder. Dominios bancarios/fintech/criptográficos cifrados (Fuente: Elastic) El malware TCLBANKER se dirige a los usuarios Una vez que el malware confirma que está en la máquina de una víctima real, lanza el principal troyano bancario. El malware escanea la computadora en busca de navegadores web como Chrome o Edge y busca cuentas activas de WhatsApp. Clonación de perfiles web de WhatsApp y secuestro de sesiones (Fuente: Eastic) En lugar de pedirle al usuario que escanee un nuevo código QR, el malware clona en secreto los datos de la sesión guardada.

Luego abre una ventana oculta del navegador, evita la detección de bots y envía mensajes de phishing y el archivo de malware directamente a los contactos de la víctima. Los ciberdelincuentes ahora entran por sus proveedores en lugar de por la puerta de entrada: seminario web gratuito La publicación El malware TCLBANKER se dirige a los usuarios a través de módulos de gusanos autopropagantes de WhatsApp y Outlook apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗