Pesquisadores de segurança cibernética identificaram um novo trojan bancário brasileiro chamado TCLBANKER, que tem a capacidade de atacar 59 plataformas de bancos, fintechs e criptomoedas. O malware, rastreado pelo Elastic Security Labs sob o nome REF3076, é considerado uma atualização significativa da família Maverick, que utiliza um worm chamado SORVEPOTEL para se espalhar via WhatsApp Web. O ataque começa com um instalador MSI malicioso embutido em um arquivo ZIP, que abusa de um programa legítimo da Logitech para contornar a detecção de ferramentas de análise e antivírus. Após a execução, o trojan verifica se está operando em um sistema brasileiro e estabelece persistência através de tarefas agendadas. Além disso, ele se conecta a servidores externos para enviar informações do sistema e pode realizar uma série de ações maliciosas, como capturar telas, manipular o teclado e o mouse, e roubar credenciais através de sobreposições enganosas. O TCLBANKER também se propaga via mensagens de spam no WhatsApp e e-mails falsos enviados pelo Outlook, aproveitando a confiança dos usuários. Essa evolução no ecossistema de trojans bancários no Brasil representa uma ameaça significativa, especialmente devido à sua capacidade de contornar defesas tradicionais.
Fonte: https://thehackernews.com/2026/05/tclbanker-banking-trojan-targets.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
08/05/2026 • Risco: ALTO
MALWARE
Novo trojan bancário brasileiro TCLBANKER ataca 59 plataformas
RESUMO EXECUTIVO
O TCLBANKER representa uma ameaça significativa para o setor financeiro brasileiro, utilizando técnicas avançadas de engenharia social e propagação. A capacidade de roubar credenciais e controlar sistemas remotamente pode resultar em perdas financeiras substanciais e complicações legais relacionadas à proteção de dados.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de credenciais e controle remoto de sistemas.
Setores vulneráveis
['Setor financeiro', 'Fintechs', 'Criptomoedas']
📊 INDICADORES CHAVE
59 plataformas financeiras alvo do TCLBANKER.
Indicador
Uso de um worm para se propagar via WhatsApp e Outlook.
Contexto BR
Capacidade de realizar múltiplas ações maliciosas em sistemas comprometidos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a presença de instaladores MSI não autorizados e monitorar atividades suspeitas em sistemas.
2
Implementar atualizações de segurança e reforçar a conscientização sobre phishing e engenharia social.
3
Monitorar continuamente comunicações via WhatsApp e Outlook para detectar atividades anômalas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a evolução das ameaças que utilizam técnicas sofisticadas para contornar defesas tradicionais, especialmente em um cenário onde a confiança em comunicações digitais é crítica.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
