A descoberta da Elastic Security Labs sobre o TCLBANKER chama atenção por um motivo simples: não se trata apenas de mais um trojan bancário focado no Brasil. Segundo o relatório publicado em 7 de maio de 2026, a campanha combina evasão de análise, fraude visual em tela cheia e mecanismos de propagação via WhatsApp e Outlook. Na prática, isso indica uma operação pensada para aumentar alcance, persistência e poder de convencimento sobre a vítima.
O ponto mais relevante para o contexto brasileiro é o alvo. A Elastic afirma que o malware monitora 59 domínios ligados a bancos, fintechs e plataformas de criptoativos no país. Além disso, o código verifica sinais de ambiente brasileiro antes de seguir com a infecção, como configuração regional, idioma em português do Brasil e layout de teclado compatível. Portanto, não estamos diante de uma ameaça genérica que por acaso atinge o Brasil, mas de uma família ajustada para operar com foco local.
Uma infecção que tenta parecer legítima
De acordo com a análise, a cadeia de entrega observada usa um instalador MSI malicioso distribuído em arquivo ZIP. Esse pacote abusa de um programa assinado da Logitech, o Logi AI Prompt Builder, para carregar uma DLL maliciosa por sideloading. Em termos práticos, o atacante se aproveita de um executável legítimo para dar aparência confiável à execução inicial.
A Elastic destaca ainda que o loader do TCLBANKER foi construído com forte ênfase em anti-análise. O malware checa depuradores, indícios de virtualização, integridade de funções do Windows, nomes de usuário típicos de sandbox e até o tempo real de espera em rotinas que tentam identificar ambientes instrumentados. Se o ambiente não corresponder ao esperado, a descriptografia da carga falha silenciosamente. Em outras palavras, o artefato foi desenhado para dificultar tanto a análise automatizada quanto o trabalho de pesquisadores.
Fraude visual e engenharia social em tempo real
O componente bancário vai além da captura tradicional de credenciais. Segundo o relatório, o TCLBANKER observa a barra de endereços do navegador e ativa sua sessão de comando e controle quando a vítima acessa um dos domínios monitorados. A partir daí, entra em cena um framework de sobreposição em tela cheia baseado em WPF.
Esse recurso é especialmente preocupante porque foi pensado para manipular a percepção da vítima. A interface pode congelar a aparência do desktop, manter janelas sempre no topo, bloquear atalhos de teclado e esconder a fraude de ferramentas de captura de tela. Além disso, o operador consegue exibir diferentes fluxos de engenharia social, como telas de coleta de dados, espera para contato telefônico e até uma falsa atualização do Windows.
Há um detalhe importante nesse desenho: a fraude não depende só de roubar informação, mas de conduzir comportamento. O relatório menciona uma tela de espera para vishing com a mensagem “Estamos entrando em contato”, sugerindo uma transição direta entre o trojan e uma abordagem humana por telefone. Isso mostra uma operação que mistura automação com intervenção do operador, o que tende a aumentar a credibilidade do golpe e a pressão sobre a vítima.
Outra capacidade descrita é o uso de janelas recortadas, que deixam parte de um aplicativo real visível dentro do overlay. Assim, o usuário pode acreditar que continua interagindo com um sistema legítimo, quando na verdade está dentro de um contexto visual controlado pelo atacante. Portanto, o TCLBANKER eleva o papel da interface fraudulenta a um mecanismo central da operação.
WhatsApp, Outlook e o efeito multiplicador
Se o módulo bancário já seria motivo suficiente para atenção, os módulos de propagação ampliam bastante o risco operacional. A Elastic recuperou duas variantes: um bot de WhatsApp e um agente de envio por Outlook.
No caso do WhatsApp, o malware procura sessões autenticadas do WhatsApp Web em navegadores baseados em Chromium. Depois, clona dados necessários da sessão e inicia uma instância automatizada do navegador para disparar mensagens e arquivos aos contatos da vítima. O relatório afirma que o bot filtra grupos, transmissões e números não brasileiros. Ou seja, a propagação também parece priorizar o ecossistema local.
Já no Outlook, o malware usa a própria aplicação instalada no computador da vítima para enviar emails de phishing com a conta real do usuário. Esse ponto é crítico porque mensagens disparadas de uma conta legítima tendem a parecer mais confiáveis para destinatários conhecidos. Além disso, o abuso de contatos colhidos no ambiente da vítima pode aumentar a taxa de abertura e reduzir a percepção de fraude.
A infraestrutura também merece atenção. Segundo a Elastic, o comando e controle e a distribuição estavam hospedados em Cloudflare Workers sob uma única conta. O relatório também registra artefatos de desenvolvimento e uma página de phishing ainda incompleta, o que sugere que a campanha pode ter sido identificada em estágio operacional inicial. Essa observação é relevante, mas precisa ser lida com cautela: ela aponta indícios sobre o momento da operação, não uma conclusão definitiva sobre sua escala futura.
O que essa campanha revela
O caso do TCLBANKER mostra um amadurecimento preocupante no crime bancário voltado ao Brasil. Não apenas pelo foco em instituições e usuários brasileiros, mas pela combinação entre evasão, persistência, fraude visual e disseminação por canais amplamente usados no ambiente corporativo e pessoal. Além disso, a campanha explora confiança já estabelecida, seja em uma marca conhecida, seja em contatos reais do WhatsApp e do Outlook.
Para times de defesa, a principal lição é clara: analisar esse tipo de ameaça exige olhar ao mesmo tempo para endpoint, identidade, comportamento do usuário e abuso de aplicativos legítimos. Quando um trojan reúne esses elementos em uma única cadeia, a resposta baseada em um único indicador deixa de ser suficiente.
About The Author
