TCLBanker ist ein neuer Banking-Trojaner, der über eine manipulierte MSI-Installation (getarnt als Logitech AI Prompt Builder) auf das System kommt und 59 Banken-, Fintech- und Krypto-Plattformen ins Visier nimmt. Er kombiniert Datendiebstahl mit automatischer Verbreitung über WhatsApp und Outlook. Der TLCBanking-Trojaner bedroht aktuell mehrheitlich brasilianische Nutzer:innen. Aber die hohe Anpassungsfähigkeit lässt erwarten, dass diese Bedrohung auch nach Europa schwappt.
Welche Systeme sind wie bedroht?
- Windows-PCs: DLL-Sideloading und MSI-Installer infizieren Windows-Rechner. Malware läuft im Kontext einer legitimen App, wodurch viele Schutzmaßnahmen umgangen werden.
- Browser-basierte Konten: Der Trojaner überwacht aktiv die Browser-Adressleiste und greift zu, sobald eine der 59 Zielseiten geöffnet wird (z. B. Online-Banking, Krypto-Dienste).
- WhatsApp-Konten: TCLBanker liest lokale Chromium-Profile, kapert WhatsApp Web-Sitzungen und sendet automatisch schadhafte Links an Kontakte. Hier sind v.a. brasilianische Nummern betroffen. Aber mit einer Ausweitung ist zu rechnen.
- Outlook/E‑Mail-Konten: Über COMAutomation öffnet die Malware Outlook, stiehlt Kontakte und verschickt Phishing-Mails aus dem infizierten Account.
- Analyseumgebungen: Die Malware ist stark gegen Analyse geschützt: Anti-Debugging, Sandbox-Erkennung, Watchdog-Threads.
Wie können Sie sich schützen?
- Installationen: Niemals ausführbare Dateien/MSI aus unbekannten oder unerwarteten Quellen installieren; offizielle Herstellerseiten verwenden.
- Updates: Windows, Browser und Sicherheitssoftware aktuell halten — auch wenn TCLBanker versucht, Erkennung zu umgehen, reduzieren Patches Angriffsflächen.
- E‑Mail/Link-Vorsicht: Links in Nachrichten prüfen; bei verdächtigen Mails niemals Anhänge oder Installer öffnen.
- Authentifizierung: Für Banking/Krypto Zwei-Faktor-Authentifizierung (2FA) aktivieren (möglichst hardwarebasierte Tokens statt nur SMS).
- Kontenüberwachung: Ungewöhnliche Aktivitäten bei WhatsApp oder E‑Mail sofort melden und Passwörter ändern; bei Verdacht Geräte abmelden (z. B. WhatsApp Web-Sitzungen).
- Backups & Wiederherstellung: Wichtige Daten regelmäßig extern sichern; im Infektionsfall Neuinstallation des Systems in Erwägung ziehen.
- Sicherheitstools: Eine aktuelle Antivirenlösung bereit und aktuell halten und Malware-Scans durchführen.
- Minimalrechte: Nutzerkonten ohne Adminrechte für den Alltag nutzen — Installationen nur mit expliziter Zustimmung.
Wenn Sie vermuten, dass Ihr System kompromittiert ist, trennen Sie es vom Netzwerk, sichern Sie wichtige Daten offline und suchen Sie technische Hilfe oder eine Neuinstallation des Systems.
[https://www.elastic.co/security-labs/tclbanker-brazilian-banking-trojan]