Des chercheurs en sécurité viennent d’alerter sur un nouveau trojan bancaire particulièrement agressif et bien orchestré : TCLBanker. Ce malware pour Windows combine techniques d’infection modernes, persistance, capacités d’espionnage et modules de propagation automatisée via WhatsApp Web et Outlook. Sa découverte met en lumière une tactique désormais récurrente des cybercriminels : exploiter des outils liés à l’IA ou des installeurs piratés pour toucher des cibles à grande échelle. Voici ce qu’il faut savoir, comment il fonctionne et quelles mesures prendre pour s’en prémunir.
Comment TCLBanker s’infiltre
La chaîne d’infection observée par les analystes repose sur une version compromise de l’installeur MSI du logiciel Logi AI Prompt Builder, fournie dans une archive ZIP. Le point d’entrée exact n’est pas encore totalement établi — il peut s’agir de sites factices, de partages malveillants ou d’hameçonnage — mais la méthode est claire : l’utilisateur télécharge ce qu’il croit être un utilitaire légitime, l’exécute, et ouvre la porte au loader malveillant.
Vérifications anti‑analyse : TCLBanker commence par vérifier s’il est exécuté dans un environnement d’analyse (sandbox, environnement virtuel). S’il détecte une telle présence, il s’arrête afin d’éviter la détection ;
DLL sideloading : le loader exploite le sideloading de bibliothèques (technique bien connue) pour charger le code malveillant en mémoire sans déposer de fichier exécutable évident sur le disque, rendant l’analyse et la détection plus difficiles.
Modules et capacités : espionnage et usurpation
TCLBanker est modulaire. Le composant principal nommé Tcl.agent assure la persistance et les fonctions d’espionnage tandis que d’autres modules ajoutent des capacités de propagation et d’usurpation.
Tcl.agent : s’installe pour s’exécuter à chaque démarrage de Windows. Il surveille la barre d’adresse des principaux navigateurs (Chrome, Edge, Firefox, Brave, Opera, Vivaldi) pour détecter l’accès à une liste de 59 domaines ciblés (banques, fintechs, plateformes crypto). Une fois un domaine visé identifié, le malware peut afficher des faux écrans (web injects) pour capturer identifiants, codes PIN et informations sensibles ;
Fonctions d’ESPIONNAGE : keylogging (enregistrement des frappes), capture de captures d’écran, accès au presse‑papier, navigation des fichiers locaux et contrôle du curseur et du clavier à distance via commandes du serveur de contrôle (C2) ;
Tcl.WppBot : worm/robot de propagation. Il s’interface avec les sessions WhatsApp Web et avec Outlook, prend le contrôle de comptes, et envoie aux contacts des messages ou e‑mails piégés contenant le même installeur compromis — créant ainsi une boucle de propagation sociale extrêmement efficace.
Cible principale et risque de diffusion
Les premières victimes identifiées sont majoritairement au Brésil, mais la chaîne d’infection par messagerie rend le risque international. Quand un message provient d’un contact de confiance, la probabilité de cliquer augmente fortement, d’où l’efficacité de cette campagne. Les secteurs visés — banques, fintech, plateformes de cryptomonnaies — montrent l’intérêt des opérateurs malveillants pour les systèmes financiers et les comptes à haute valeur.
Pourquoi TCLBanker est dangereux
Plusieurs éléments rendent ce trojan particulièrement préoccupant :
Discrétion : techniques anti‑analyse et chargement en mémoire limitent les traces sur disque et retardent la détection ;
Propagation via comptes légitimes : WhatsApp Web et Outlook deviennent des vecteurs précieux parce qu’ils exploitent la confiance relationnelle ;
Multifonctionnalité : collecte d’informations, usurpation d’identité (fausses pages), et contrôle à distance permettent un large éventail d’actions malveillantes (vol d’argent, fraude, extorsion) ;
Mise à jour et commandes distantes : le C2 peut envoyer de nouveaux modules ou ordres, rendant la menace adaptable et durable.
Mesures immédiates pour se protéger
Face à ce type d’attaque, la prévention et la vigilance restent les meilleures armes. Voici des recommandations concrètes pour les particuliers et les entreprises :
N’exécutez jamais d’installeur provenant d’un lien reçu par message sans avoir vérifié la source : préférez télécharger les logiciels depuis le site officiel de l’éditeur ;
Méfiez‑vous des archives ZIP jointes ou partagées via messagerie, même si elles proviennent d’un contact connu — leur compte peut être compromis ;
Activez l’authentification à deux facteurs (2FA) sur WhatsApp, services mail et comptes bancaires pour limiter l’impact de l’usurpation ;
Maintenez systèmes et logiciels à jour ; installez une solution de sécurité reconnue capable de détection comportementale ;
En entreprise, déployer des solutions EDR (Endpoint Detection and Response), segmenter les accès, restreindre l’utilisation d’applications non officielles et former les employés au phishing et aux risques liés aux pièces jointes/exécutables.
Que faire en cas d’infection suspectée ?
Si vous pensez être infecté :
Déconnectez immédiatement la machine du réseau ;
Changez les mots de passe critiques depuis un appareil non compromis et activez 2FA ;
Contactez votre support IT ou un spécialiste en cybersécurité pour analyser la machine : une suppression brute peut laisser des portes ouvertes si la persistance n’est pas éradiquée ;
Informez vos contacts si votre compte WhatsApp ou mail a été utilisé pour propager le malware, afin qu’ils prennent des précautions (ne pas ouvrir les fichiers reçus, analyser leurs systèmes).
Enjeux plus larges
La campagne TCLBanker illustre plusieurs tendances inquiétantes : l’utilisation d’outils liés à l’IA comme leurre, la convergence des vecteurs de propagation (messagerie + mail) et la professionnalisation des malwares bancaires. Elle rappelle l’importance d’une hygiène numérique renforcée et d’une approche défensive multicouche, mêlant sensibilisation des utilisateurs, protections techniques et réponse rapide en cas d’incident.
La menace reste active ; la diffusion via réseaux sociaux et messageries la rend potentiellement difficile à contenir. La meilleure stratégie consiste à conjuguer vigilance individuelle et dispositifs de sécurité robustes au niveau organisationnel.
