Ele se esconde em programas famosos, lê suas mensagens e usa seu próprio WhatsApp e Outlook para infectar quem você conhece.
Se você acha que o perigo na internet vem sempre de um estranho, o novo trojan bancário TCLBANKER está aqui para provar o contrário. Descoberto recentemente por pesquisadores de segurança, esse vírus brasileiro é o que chamamos de “mestre do disfarce” e tem um objetivo claro: esvaziar contas em 59 plataformas diferentes, incluindo bancos, fintechs e até corretoras de criptomoedas.
O “Tradutor” de Tecniquês
Para entender como ele é perigoso, vamos traduzir as ferramentas que ele usa:
- Trojan (Cavalo de Troia): É um presente grego. Você baixa um arquivo achando que é algo útil (como um instalador da Logitech), mas dentro dele vem o invasor escondido.
- Worm (Verme): Diferente de um vírus comum, o worm se espalha sozinho. Ele não precisa que você envie nada; ele “pula” do seu computador para os seus contatos sem você saber.
- DLL Sideloading: Imagine que um programa legítimo é um segurança. O hacker coloca um “crachá falso” (a DLL maliciosa) no invasor para que o programa legítimo o deixe entrar no sistema sem desconfiar.
Como a Invasão Acontece?
O ataque geralmente começa com um arquivo ZIP que contém um instalador falso. Para enganar o seu antivírus, os criminosos estão abusando de um programa real da Logitech (chamado Logi AI Prompt Builder).
Assim que você executa o arquivo:
- Ele checa o “ambiente”: O vírus verifica se você está no Brasil e se o seu computador tem ferramentas de segurança. Se ele notar que está sendo vigiado por um técnico, ele simplesmente não “desperta” para não ser capturado.
- Monitoramento Total: Ele começa a vigiar qual site você está visitando no Chrome, Edge ou Firefox.
- O Roubo em Tempo Real: Se você entrar no site de um banco da lista deles, o hacker do outro lado pode ver sua tela, travar seu teclado e até sobrepor uma tela falsa pedindo sua senha ou Token, enquanto esconde a tela real do banco.
O Perigo do “Fofoqueiro Digital”
O que torna o TCLBANKER realmente assustador é como ele se espalha. Ele usa dois módulos principais:
- Worm do WhatsApp: Ele sequestra sua sessão do WhatsApp Web e envia mensagens automáticas para seus contatos com o link da infecção. Como a mensagem vem de você, seus amigos confiam e clicam.
- Bot do Outlook: Ele usa o seu e-mail profissional ou pessoal para disparar mensagens de phishing. Como o e-mail sai da sua conta real, ele passa direto pelos filtros de spam.
⚠️ Lista de Alvos: O que ele vigia?
O malware monitora 59 instituições, mas foca principalmente em:
- Grandes bancos brasileiros e Fintechs.
- Plataformas de Criptomoedas.
- Navegadores como Chrome, Firefox, Edge, Brave, Opera e Vivaldi.
Como se proteger (e proteger seus amigos)?
- Desconfie de links em ZIP: Mesmo que venha de um amigo ou colega de trabalho via WhatsApp ou E-mail, pergunte se ele realmente enviou aquilo antes de abrir.
- Cuidado com instaladores “estranhos”: Só baixe softwares de sites oficiais. Se um arquivo pedir para instalar algo da Logitech sem você ter o produto, desconfie na hora.
- Atenção a telas de “Aguarde”: Se o site do seu banco ficar travado em uma barra de progresso infinita ou pedir dados que nunca pediu antes, pode ser uma sobreposição falsa do vírus.
- Encerre sessões ativas: De tempos em tempos, vá no seu WhatsApp e clique em “Sair de todos os aparelhos”. Isso desconecta qualquer sessão que o vírus possa estar usando.
Referência: The Hacker News
