📅 8 May 2026 · 📰 The Hacker News / Elastic Security Labs · 🎯 Bankacılık / Fintech / Kripto Platformları · TLP:WHITE
Elastic Security Labs, REF3076 takip kodu altında izlediği yeni bir Brezilya bankacılık truva atını kamuoyuyla paylaştı: TCLBANKER. Araştırmacılar Jia Yu Chan, Daniel Stepanic, Seth Goodwin ve Terrance DeJesus tarafından belgelenen bu zararlı yazılım, bilinen Maverick ailesinin önemli bir evrimi olarak değerlendiriliyor; Trend Micro'nun Water Saci olarak adlandırdığı tehdit kümesiyle ilişkilendiriliyor. TCLBANKER, 59 bankacılık, fintech ve kripto para platformunu hedef alması, kurbanın WhatsApp Web ve Microsoft Outlook hesaplarını ele geçirerek 3.000 kişiye kadar trojanize MSI yükleyici dağıtması ve geleneksel e-posta güvenlik kontrollerini tamamen atlatmasıyla dikkat çekici bir tehdit düzeyi oluşturuyor. Kampanyanın kod tabanında hata ayıklama günlük yolları ve test süreç adlarının varlığı, REF3076'nın henüz erken operasyonel aşamada olduğuna ve ilerleyen dönemde daha da gelişebileceğine işaret ediyor.
Saldırı zincirinin merkezinde, ZIP arşivi içine paketlenmiş kötü amaçlı bir MSI yükleyici yer alıyor. Bu yükleyici, Logitech tarafından imzalanmış meşru 'Logi AI Prompt Builder' uygulamasına karşı DLL yan yükleme (side-loading) tekniği uygulayarak `screen_retriever_plugin.dll` adlı zararlı kütüphaneyi belleğe yüklüyor. Zararlı DLL yalnızca `logiaipromptbuilder.exe` veya `tclloader.exe` tarafından yüklendiğinde çalışacak şekilde tasarlanmış; sandbox, hata ayıklayıcı, tersine mühendislik ve antivirüs araçlarını sürekli izleyen kapsamlı bir bekçi alt sistemi barındırıyor. Bunun yanı sıra `ntdll.dll` içindeki kullanıcı modu kancalarını (usermode hooks) kaldırarak uç nokta güvenlik yazılımlarını körleştiriyor ve Event Tracing for Windows (ETW) telemetrisini devre dışı bırakıyor. Zararlı, anti-hata ayıklama kontrolleri, sistem disk bilgisi ve dil doğrulaması olmak üzere üç parmak izi oluşturuyor; bu üç değerden türetilen ortam karması (environment hash) ile gömülü payload'ın şifresi çözülüyor. Dil kontrolü, sistemin varsayılan dilinin Brezilya Portekizcesi olmasını zorunlu kılıyor; hata ayıklayıcı varlığında hash yanlış üretiliyor ve TCLBANKER çalışmayı durduruyor: ``` Anti-debug → Yanlış hash → Payload şifre çözme başarısız → Yürütme sonlanır Anti-VM → Yanlış hash → Payload şifre çözme başarısız → Yürütme sonlanır Dil ≠ pt-BR → Yanlış hash → Payload şifre çözme başarısız → Yürütme sonlanır ```
Güvenlik kontrolleri geçildikten sonra aktive olan bankacılık truva atı modülü, kalıcılık (persistence) için zamanlanmış görev (scheduled task) oluşturuyor ve ardından HTTP POST isteğiyle temel sistem bilgilerini komuta kontrol (C2) sunucusuna gönderiyor. URL izleyici bileşeni, UI Automation API'si aracılığıyla ön plandaki tarayıcının adres çubuğundan anlık URL'yi çıkarıyor; Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera ve Vivaldi bu hedefler arasında yer alıyor. Eşleşen bir finansal platform URL'si tespit edildiğinde WebSocket bağlantısı kurularak komut gönderim döngüsüne giriliyor. Operatör bu kanal üzerinden kabuk komutu çalıştırma, ekran görüntüsü alma, ekran akışı başlatma/durdurma, pano manipülasyonu, keylogger başlatma, fare/klavye uzaktan kontrolü, dosya ve süreç yönetimi, çalışan süreçleri listeleme, görünür pencereleri listeleme ve sahte kimlik bilgisi toplama ekranı sergileme gibi geniş bir komut setine erişebiliyor. WPF tabanlı tam ekran kaplama çerçevesi; kimlik bilgisi toplama istemleri, vishing bekleme ekranları, sahte ilerleme çubukları ve sahte Windows Update bildirimleri gibi sosyal mühendislik unsurlarını ekran yakalama araçlarından gizleyerek sunuyor.
Yayılım mekanizması iki kollu bir yaklaşım üzerine kurulu: WhatsApp Web solucanı ve Outlook e-posta botu. WhatsApp Web bileşeni, kurbanın kimlik doğrulamalı tarayıcı oturumunu ele geçirerek WPPConnect açık kaynak kütüphanesi aracılığıyla sunucudan aldığı mesaj şablonunu grup ve yayın listeleri ile Brezilya dışı numaraları filtreleyerek kişi listesindeki kullanıcılara gönderiyor. Outlook botu ise kurbanın yerel Microsoft Outlook istemcisini kötüye kullanarak zararlı MSI yükleyicisini içeren oltalama e-postalarını kurbanın kendi e-posta adresiyle gönderiyor; böylece mesajlar meşru altyapı ve güvenilir bir göndericiden gelmiş görünümü kazanıyor. Bu dağıtım modeli, geleneksel e-posta ağ geçitlerini ve itibar tabanlı savunmaları pratikte işlevsiz kılıyor; zira mesajlar kara listede olmayan, kurban tarafından tanınan hesaplardan çıkıyor. SORVEPOTEL solucanıyla paylaşılan bu miras, Brezilya bankacılık truva atı ekosisteminin sosyal mühendisliği kurumsal ölçekte silahlandırma yetkinliğini gösteriyor.
Finans sektörü ve özellikle WhatsApp ile Outlook'un yoğun iş iletişimi aracı olarak kullanıldığı Orta Doğu ve Türkiye bağlamında TCLBANKER ciddi bir risk faktörü oluşturuyor. Kurumsal cihazlarda WhatsApp Web oturumu açık tutan kullanıcılar ve Outlook istemcisi üzerinden müşteri veya iş ortağı iletişimi yürüten çalışanlar, farkında olmadan binlerce kişiye zararlı yazılım dağıtacak güvenilir bir vektöre dönüşebilir. Kuveyt Türk gibi finansal kurumlar için bu tehdit, yalnızca teknik bir enfeksiyon vakası değil; aynı zamanda marka itibarı, müşteri güveni ve düzenleyici uyum açısından da değerlendirilmesi gereken çok boyutlu bir risk senaryosunu temsil ediyor.