Laut den Elastic-Forschern Jia Yu Chan, Daniel Stepanic, Seth Goodwin und Terrance DeJesus beginnt die beobachtete Infektionskette mit einem schädlichen MSI-Installer, der in einer ZIP-Datei steckt. Diese Installationspakete missbrauchen ein signiertes Logitech-Programm namens Logi AI Prompt Builder. Über DLL-Side-Loading wird gegen die Anwendung eine bösartige DLL (“screen_retriever_plugin.dll”) gestartet, die als Loader fungiert.
Dieser Loader bringt ein umfassendes Watchdog-System mit, das fortlaufend nach Analysewerkzeugen, Sandboxes, Debuggern, Disassemblern, Instrumentierungswerkzeugen und Antivirensoftware sucht. Die schädliche DLL läuft nur, wenn sie entweder von “logiaipromptbuilder.exe” oder von “tclloader.exe” geladen wurde – Letztere verweist vermutlich auf eine während des Tests verwendete Datei. Zudem entfernt sie im Usermodus gesetzte Hooks von Endpunktschutzsoftware aus der “ntdll.dll”, indem sie die Bibliothek ersetzt, und deaktiviert die Telemetrie von Event Tracing for Windows (ETW).
Darüber hinaus erzeugt die Schadsoftware drei Fingerabdrücke – aus Anti-Debugging- und Anti-Virtualisierungs-Prüfungen, aus Informationen zur Systemfestplatte sowie aus einer Sprachprüfung. Daraus entsteht ein Umgebungs-Hash, mit dem die eingebettete Schadlast entschlüsselt wird. Die Sprachprüfung stellt sicher, dass die Standardsprache des Nutzers brasilianisches Portugiesisch ist. Ist etwa ein Debugger aktiv, ergibt sich ein falscher Hash, die Entschlüsselung scheitert, und TCLBANKER bricht die Ausführung ab, wie Elastic erläutert.
Nach diesen Prüfungen startet der eigentliche Banking-Trojaner, der erneut ein brasilianisches System verifiziert, sich über eine geplante Aufgabe dauerhaft einnistet und anschließend per HTTP-POST grundlegende Systeminformationen an einen externen Server sendet. TCLBANKER verfügt über einen Selbstaktualisierungsmechanismus und einen URL-Monitor, der mittels UI Automation die aktuelle Adresse aus der Adressleiste des im Vordergrund laufenden Browsers ausliest – darunter Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera und Vivaldi.
Die ausgelesene URL wird mit einer fest hinterlegten Liste anvisierter Finanzinstitute abgeglichen. Bei einem Treffer baut die Schadsoftware eine WebSocket-Verbindung zu einem entfernten Server auf und wechselt in eine Befehlsschleife, über die der Betreiber zahlreiche Aktionen ausführen kann. Für den Datendiebstahl nutzt TCLBANKER ein auf Windows Presentation Foundation (WPF) basierendes Vollbild-Overlay, um über gefälschte Anmeldeaufforderungen, Vishing-Wartebildschirme, falsche Fortschrittsbalken und vorgetäuschte Windows-Updates Social Engineering zu betreiben – wobei die Overlays vor Bildschirmaufnahme-Werkzeugen verborgen bleiben.
Parallel ruft der Loader das Wurmmodul auf, das den Trojaner über Spam- und Phishing-Nachrichten in großem Umfang verbreitet. Dabei kommen zwei Wege zum Einsatz: Ein WhatsApp-Web-Wurm kapert authentifizierte Browsersitzungen und nutzt – wie schon bei SORVEPOTEL – das Open-Source-Projekt WPPConnect, um automatisiert Nachrichten zu versenden, wobei Gruppen, Broadcasts und nicht-brasilianische Nummern ausgefiltert werden. Ein Outlook-Agent missbraucht zudem das installierte Microsoft Outlook des Opfers, um Phishing-Mails von dessen Adresse zu verschicken und so Spamfilter zu umgehen.
Elastic wertet TCLBANKER als Zeichen einer breiteren Reifung im Ökosystem brasilianischer Banking-Trojaner: Techniken wie umgebungsabhängige Entschlüsselung der Schadlast, direkte Syscall-Erzeugung und Social Engineering in Echtzeit über WebSocket, einst Kennzeichen besonders versierter Akteure, würden nun in handelsübliche Kriminellen-Software verpackt.