TCLBanker: trojan bancario si propaga tramite WhatsApp
Topic
Approfondimenti
Trending
tutti

TCLBanker: trojan bancario si propaga tramite WhatsApp

Sfruttando una versione infetta di Logi AI Prompt Builder, ignoti cybercriminali hanno distribuito un trojan bancario che si propaga tramite WhatsApp.
TCLBanker: trojan bancario si propaga tramite WhatsApp
Sicurezza
Sfruttando una versione infetta di Logi AI Prompt Builder, ignoti cybercriminali hanno distribuito un trojan bancario che si propaga tramite WhatsApp.
Google AI Studio
Aggiungi Punto Informatico come Fonte preferita su Google

I ricercatori di Elastic Security Labs hanno scoperto un nuovo malware per Windows denominato TCLBanker. È un trojan bancario che colpisce banche, fintech e piattaforme di criptovalute. Include anche due moduli che gli permettono di propagarsi attraverso WhatsApp e Outlook. Le vittime sono principalmente in Brasile, ma potrebbe arrivare presto in altri paesi.

Descrizione delle funzionalità di TCLBanker

TCLBanker viene distribuito tramite una versione infetta dell’installer MSI del software Logi AI Prompt Builder presente in un archivio ZIP. Non è noto come arrivi sul computer delle vittime (probabilmente da siti fasulli). Dopo aver verificato l’assenza di sandbox, tool di analisi del codice e ambienti di virtualizzazione, il modulo loader carica il malware in memoria sfruttando la tecnica DDL sideloading.

Il modulo principale è Tcl.agent che viene eseguito all’avvio di Windows (persistenza) e monitora la barra degli indirizzi dei browser (Chrome, Firefox, Microsoft Edge, Brave, Opera e Vivaldi) per rilevare i domini di 59 target (banche, fintech e piattaforme di criptovalute). Il malware contatta successivamente il server C2 (command and control), al quale invia le informazioni sul sistema e dal quale riceve i comandi che permettono di registrare i tasti premuti (keylogging), catturare screenshot, accedere a clipboard e file, vedere lo schermo, controllare mouse e tastiera.

TCLBanker mostra quindi schermata fasulle in base al dominio rilevato. Gli utenti inseriscono credenziali, PIN, numeri di telefono e altri dati personali credendo che siano legittime. Il secondo modulo è Tcl.WppBot. Si tratta di un worm che viene utilizzato per accedere alle sessioni di WhatsApp Web e all’app Outlook.

In entrambi i casi, il malware prende il controllo degli account e invia messaggi/email ai contatti delle vittime. Queste ultime credono che il mittente sia legittimo e scaricano la versione infetta dell’installer di Logi AI Prompt Builder. In tal modo avviene la propagazione di TCLBanker. Gli attacchi sono ancora in corso, quindi è necessario prestare molta attenzione ai file scaricati.

Fonte: Bleeping Computer

Pubblicato il 10 mag 2026

Link copiato negli appunti

Ti potrebbe interessare

Sito fake di Claude distribuisce la backdoor Beagle

Sito fake di Claude distribuisce la backdoor Beagle
JDownloader: sito torna online dopo attacco informatico

JDownloader: sito torna online dopo attacco informatico
Accesso ai dati bloccato: denuncia per LinkedIn

Accesso ai dati bloccato: denuncia per LinkedIn
Dirty Frag: nuove vulnerabilità per le distribuzioni Linux

Dirty Frag: nuove vulnerabilità per le distribuzioni Linux
Sito fake di Claude distribuisce la backdoor Beagle

Sito fake di Claude distribuisce la backdoor Beagle
JDownloader: sito torna online dopo attacco informatico

JDownloader: sito torna online dopo attacco informatico
Accesso ai dati bloccato: denuncia per LinkedIn

Accesso ai dati bloccato: denuncia per LinkedIn
Dirty Frag: nuove vulnerabilità per le distribuzioni Linux

Dirty Frag: nuove vulnerabilità per le distribuzioni Linux
Luca Colantuoni
Pubblicato il
10 mag 2026
Link copiato negli appunti