**TCLBanker: Nuevo troyano apunta a 59 plataformas financieras mediante un instalador MSI manipulado**
—
### 1. Introducción
El panorama de las amenazas financieras se ha visto recientemente sacudido por la aparición de TCLBanker, un troyano bancario de nueva generación que ha comenzado a propagarse entre usuarios y profesionales a través de un sofisticado vector de infección: un instalador MSI trojanizado que suplanta la herramienta Logitech AI Prompt Builder. La campaña, descubierta en junio de 2024, tiene como objetivo principal la obtención de credenciales y activos en 59 plataformas de banca online, fintech y criptomonedas, evidenciando una clara evolución en las tácticas del cibercrimen enfocado a la exfiltración financiera.
—
### 2. Contexto del Incidente o Vulnerabilidad
La distribución de TCLBanker se inicia con la difusión de un archivo MSI malicioso, presentado como una actualización legítima de la popular herramienta Logitech AI Prompt Builder. Este método de ingeniería social aprovecha la confianza en marcas reconocidas y la urgencia de mantener el software actualizado, un patrón ya observado en campañas previas vinculadas a troyanos como Qakbot o URSNIF.
Los investigadores han identificado foros y sitios de descarga no oficiales como principales fuentes de propagación, aunque existen indicios de campañas de phishing dirigidas, especialmente contra empleados de entidades financieras y usuarios de aplicaciones de criptomonedas. La campaña destaca por su alcance global, aunque se ha detectado una concentración relevante en Europa y Latinoamérica.
—
### 3. Detalles Técnicos
El troyano TCLBanker utiliza un paquete MSI manipulado que, al ejecutarse, despliega cargas maliciosas aprovechando técnicas de Living-off-the-Land (LotL) y evasión de soluciones EDR. El análisis forense ha revelado las siguientes características técnicas:
– **CVE asociadas**: No se han detectado vulnerabilidades zero-day, pero sí técnicas de DLL side-loading y abuso de firmas digitales comprometidas.
– **Vectores de ataque**: Instaladores MSI trojanizados distribuidos vía phishing y sitios de descargas de terceros.
– **TTPs MITRE ATT&CK**:
– Initial Access (T1193, T1566): Phishing con adjuntos maliciosos.
– Execution (T1059, T1204): Uso de scripts y ejecución de aplicaciones MSI.
– Credential Access (T1555, T1110): Hooking de formularios, keylogging y dumping de credenciales.
– Exfiltration (T1041): Exfiltración por HTTPS a infraestructuras C2 de tipo fast-flux.
– **Indicadores de compromiso (IoC)**:
– Hashes SHA256 de los MSI maliciosos
– Dominios de C2 con patrones similares a “logitech-prompts[.]com”
– Creación de tareas programadas persistentes y modificaciones en el registro de Windows.
– **Exploits y frameworks utilizados**: Se han detectado módulos customizados inspirados en Metasploit para el movimiento lateral, así como técnicas de evasión derivadas de Cobalt Strike.
—
### 4. Impacto y Riesgos
El alcance de TCLBanker es considerable: más de 59 aplicaciones y servicios financieros, incluyendo bancos tradicionales, wallets de criptomonedas, exchanges, y plataformas fintech, figuran entre los objetivos. Los riesgos principales incluyen:
– **Compromiso de credenciales** de acceso a cuentas bancarias y monederos digitales.
– **Transferencias no autorizadas** y vaciado de fondos.
– **Suplantación de identidad y fraude** en plataformas asociadas.
– **Impacto reputacional** para entidades financieras afectadas.
– **Incumplimiento de normativas** como GDPR y NIS2 en caso de exposición de datos personales y financieros.
Según los datos preliminares, se estima que el 2,7% de las descargas de la supuesta actualización ya han resultado en infecciones confirmadas, con pérdidas económicas que podrían superar los 2,5 millones de euros en apenas dos semanas.
—
### 5. Medidas de Mitigación y Recomendaciones
Las organizaciones y usuarios pueden reducir el riesgo siguiendo estas buenas prácticas:
– **Verificar siempre la autenticidad** de los instaladores descargados, obteniéndolos solo de fuentes oficiales.
– **Implementar soluciones EDR y anti-malware avanzados** capaces de detectar comportamientos anómalos relacionados con MSI y side-loading de DLL.
– **Monitorización activa de IoC** y actualización continua de los sistemas SIEM/SOC.
– **Restricción de privilegios** y uso de cuentas con mínimos permisos necesarios.
– **Campañas de concienciación** sobre ingeniería social y phishing entre empleados.
– **Bloqueo de dominios y direcciones IP** asociadas a los C2 identificados.
– **Aplicación estricta de la autenticación multifactor (MFA)** en todos los accesos críticos.
—
### 6. Opinión de Expertos
Analistas de amenazas del sector coinciden en que TCLBanker representa una evolución significativa en el malware financiero: “El uso de instaladores MSI trojanizados asociados a marcas de confianza incrementa notablemente la tasa de éxito de las campañas. La modularidad del troyano y su capacidad para adaptarse a diferentes plataformas lo convierten en una amenaza persistente difícil de erradicar”, señala Eva Gil, Threat Intelligence Lead en una multinacional europea.
Por su parte, expertos en compliance advierten del riesgo de sanciones severas bajo NIS2 y GDPR, especialmente si la brecha afecta a datos personales sensibles de clientes bancarios.
—
### 7. Implicaciones para Empresas y Usuarios
Las empresas del sector financiero, fintech y criptomonedas deben redoblar sus esfuerzos en monitorización y respuesta a incidentes. La cadena de suministro digital emerge nuevamente como vector de riesgo: cualquier software externo debe ser rigurosamente auditado antes de su despliegue en entornos productivos.
Para los usuarios finales, la recomendación es clara: evitar descargas de fuentes no verificadas y mantener actualizadas las soluciones de seguridad en endpoints y dispositivos móviles.
—
### 8. Conclusiones
TCLBanker evidencia la sofisticación creciente del cibercrimen financiero y la importancia de la cadena de suministro como vector de ataque. La rápida detección, respuesta coordinada y el refuerzo de la cultura de ciberseguridad serán claves para mitigar el impacto de este tipo de campañas, que combinan ingeniería social, malware modular y técnicas avanzadas de evasión.
(Fuente: www.bleepingcomputer.com)