{"id":18346,"date":"2026-05-07T10:45:40","date_gmt":"2026-05-07T13:45:40","guid":{"rendered":"https:\/\/fenati.org.br\/?p=18346"},"modified":"2026-05-07T12:05:18","modified_gmt":"2026-05-07T15:05:18","slug":"malware-brasil-espalha-contatos-vitima-whatsapp","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/malware-brasil-espalha-contatos-vitima-whatsapp\/","title":{"rendered":"Malware voltado ao Brasil se espalha por contatos de v\u00edtima no WhatsApp"},"content":{"rendered":"<p><strong>Malware &#8211;<\/strong> Um novo <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Cavalo_de_Troia_(computa%C3%A7%C3%A3o)\" target=\"_blank\" rel=\"noopener nofollow\">trojan<\/a> banc\u00e1rio voltado exclusivamente para usu\u00e1rios brasileiros chamou a aten\u00e7\u00e3o de pesquisadores da empresa de seguran\u00e7a Elastic por reunir t\u00e9cnicas avan\u00e7adas de fraude digital, evas\u00e3o de detec\u00e7\u00e3o e dissemina\u00e7\u00e3o autom\u00e1tica. Chamado de TCLBANKER, o malware foi associado ao grupo identificado como REF3076 e ainda estaria em fase inicial de opera\u00e7\u00e3o.<\/p>\n<p>Os criminosos distribuem o programa malicioso por meio de um arquivo compactado que simula o instalador do Logi AI Prompt Builder, ferramenta leg\u00edtima da Logitech. Ao abrir o arquivo, a v\u00edtima executa um componente capaz de carregar uma DLL maliciosa mascarada como plugin do pr\u00f3prio sistema operacional.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/robo-inspirado-caes-ia-para-criar-conexao-emocional\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Rob\u00f4 inspirado em c\u00e3es usa IA para criar conex\u00e3o emocional<\/strong><\/a><\/p>\n<p>Antes de iniciar qualquer atividade, o trojan realiza uma s\u00e9rie de checagens para evitar an\u00e1lise em ambientes de teste utilizados por pesquisadores de seguran\u00e7a. Entre as verifica\u00e7\u00f5es est\u00e3o a presen\u00e7a de programas de monitoramento, a capacidade de processamento da m\u00e1quina, a quantidade de mem\u00f3ria RAM e o espa\u00e7o dispon\u00edvel no disco r\u00edgido.<\/p>\n<p>O software tamb\u00e9m verifica se o computador est\u00e1 configurado em portugu\u00eas do Brasil e se o sistema identifica o pa\u00eds como localiza\u00e7\u00e3o principal. Se os par\u00e2metros n\u00e3o coincidirem com o perfil esperado, o malware encerra sua atividade sem apresentar sinais vis\u00edveis ao usu\u00e1rio.<\/p>\n<p>Depois de instalado, o TCLBANKER cria mecanismos de persist\u00eancia no Windows para permanecer ativo ap\u00f3s reinicializa\u00e7\u00f5es. Em seguida, envia aos operadores do golpe informa\u00e7\u00f5es b\u00e1sicas do dispositivo infectado, como nome da m\u00e1quina e vers\u00e3o do sistema operacional.<\/p>\n<p>A partir desse momento, o malware passa a acompanhar continuamente os sites acessados pela v\u00edtima. O programa compara os endere\u00e7os visitados com uma lista interna composta por dezenas de institui\u00e7\u00f5es financeiras brasileiras, incluindo bancos, fintechs e corretoras de criptomoedas. Quando um desses dom\u00ednios \u00e9 identificado, os criminosos assumem o controle da opera\u00e7\u00e3o em tempo real.<\/p>\n<p>Uma das principais caracter\u00edsticas do trojan \u00e9 a utiliza\u00e7\u00e3o de interfaces falsas que cobrem completamente a tela do computador. As janelas fraudulentas permanecem sobre qualquer outro conte\u00fado exibido no monitor e foram desenvolvidas para n\u00e3o aparecer em capturas de tela ou grava\u00e7\u00f5es feitas pela v\u00edtima.<\/p>\n<p>Entre as telas utilizadas pelos criminosos est\u00e1 uma falsa atualiza\u00e7\u00e3o do Windows, com barra de progresso e apar\u00eancia semelhante \u00e0 interface original do sistema operacional. Outra simula um atendimento em andamento com a mensagem \u201cEstamos entrando em contato\u201d, normalmente exibida enquanto um golpista telefona para a v\u00edtima fingindo ser funcion\u00e1rio do banco, pr\u00e1tica conhecida como vishing.<\/p>\n<p>O malware tamb\u00e9m possui uma interface espec\u00edfica para coleta de credenciais banc\u00e1rias. Nesse caso, a v\u00edtima \u00e9 levada a utilizar um teclado virtual num\u00e9rico, enquanto o sistema rejeita automaticamente combina\u00e7\u00f5es simples para incentivar o preenchimento de dados reais.<\/p>\n<p>H\u00e1 ainda uma quarta modalidade de tela falsa que exibe etapas fict\u00edcias de processamento, com anima\u00e7\u00f5es e cron\u00f4metros que reiniciam constantemente para manter a v\u00edtima distra\u00edda. Durante esse per\u00edodo, os criminosos conseguem operar o computador remotamente, movimentando o cursor, digitando comandos e registrando informa\u00e7\u00f5es da tela.<\/p>\n<p>Al\u00e9m de roubar dados banc\u00e1rios, o TCLBANKER foi desenvolvido para ampliar o alcance da campanha usando os pr\u00f3prios contatos da v\u00edtima. Um dos m\u00f3dulos atua diretamente sobre sess\u00f5es ativas do WhatsApp Web encontradas nos navegadores instalados no computador.<\/p>\n<p>Com acesso \u00e0 conta autenticada, o malware envia mensagens automaticamente para os contatos da v\u00edtima contendo links para download do arquivo malicioso, geralmente apresentados como pedidos de or\u00e7amento acompanhados de anexos.<\/p>\n<p>Outro mecanismo utiliza o Microsoft Outlook instalado na m\u00e1quina. O trojan acessa a conta de e-mail comprometida, coleta endere\u00e7os do hist\u00f3rico de mensagens e dispara comunicados com o assunto \u201cNFe dispon\u00edvel para impress\u00e3o\u201d. O conte\u00fado imita notifica\u00e7\u00f5es fiscais leg\u00edtimas e direciona o destinat\u00e1rio para p\u00e1ginas controladas pelos criminosos.<\/p>\n<p>Segundo os pesquisadores, o uso de contas verdadeiras aumenta significativamente a credibilidade das mensagens e dificulta a identifica\u00e7\u00e3o do golpe por ferramentas tradicionais de seguran\u00e7a.<\/p>\n<p>A an\u00e1lise da infraestrutura utilizada pelo grupo indica que a campanha ainda estava em fase de prepara\u00e7\u00e3o quando foi descoberta. Os especialistas encontraram p\u00e1ginas incompletas, registros de desenvolvimento ainda ativos e dom\u00ednios rec\u00e9m-criados destinados a futuras etapas da opera\u00e7\u00e3o.<\/p>\n<p>Toda a estrutura de distribui\u00e7\u00e3o e controle do malware utiliza servi\u00e7os da plataforma Cloudflare Workers, o que facilita a troca r\u00e1pida de endere\u00e7os utilizados na campanha caso eles sejam bloqueados.<\/p>\n<p>Para a Elastic, o TCLBANKER representa uma nova etapa na evolu\u00e7\u00e3o dos trojans banc\u00e1rios latino-americanos ao combinar recursos sofisticados de manipula\u00e7\u00e3o visual, acesso remoto e autopropaga\u00e7\u00e3o em larga escala. A inclus\u00e3o de mecanismos autom\u00e1ticos de dissemina\u00e7\u00e3o \u00e9 vista como um dos elementos mais preocupantes da amea\u00e7a, especialmente pela dificuldade de detectar mensagens enviadas a partir de contas leg\u00edtimas comprometidas.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Magnific\/thanyakij-12)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>TCLBANKER monitora acessos a bancos, oculta a\u00e7\u00f5es criminosas com telas falsas e utiliza WhatsApp Web e Outlook para alcan\u00e7ar novas v\u00edtimas<\/p>","protected":false},"author":10,"featured_media":18350,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-18346","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/18346","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=18346"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/18346\/revisions"}],"predecessor-version":[{"id":18351,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/18346\/revisions\/18351"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/18350"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=18346"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=18346"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=18346"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}