Home Cyber Attack National News TCLBANKER: Trojan Bank Memanfaatkan Overlay WPF Untuk Memanipulasi Target - Ethical Hacking Indonesia

TCLBANKER: Trojan Bank Memanfaatkan Overlay WPF Untuk Memanipulasi Target - Ethical Hacking Indonesia

Ethical Hacking Indonesia Mei 09, 2026
Ethical Hacking Indonesia
Fake Bank Ilustrate - Ethical Hacking Indonesia

TCLBANKER banking trojan LATAM biasa. Malware ini menunjukkan evolusi yang cukup signifikan dari keluarga MAVERICK/SORVEPOTEL dengan pendekatan yang lebih modular, lebih evasive, dan lebih fokus pada social engineering interaktif dibanding sekadar credential theft tradisional.

Yang menarik bukan hanya kemampuan remote access atau keylogging, tetapi bagaimana operator membangun “lingkungan manipulasi penuh” terhadap korban. Kombinasi anti-analysis yang agresif, WebSocket session berbasis browser activity, dan overlay WPF anti-capture membuat malware ini terasa lebih dekat ke framework fraud operation dibanding trojan bank konvensional.

Secara operasional, kampanye REF3076 juga memperlihatkan pola modern malware-as-a-service kecil: Cloudflare Workers untuk C2, MSI trojanized installer, signed binary abuse, dan propagation melalui akun korban sendiri menggunakan WhatsApp serta Outlook.

DLL Sideloading Logitech: Entry Point yang Sulit Dicurigai

Rantai infeksi TCLBANKER dimulai dari MSI installer yang membawa aplikasi Logitech legitimate bernama LogiAiPromptBuilder.exe. Teknik yang digunakan adalah DLL sideloading melalui file screen_retriever_plugin.dll.

Windows DLL - Ehtical Hacking Indonesia

Secara teknis, ini memanfaatkan perilaku Windows loader yang akan mencari dependency DLL di direktori aplikasi terlebih dahulu sebelum lokasi sistem tertentu. Karena executable legitimate memanggil plugin dengan nama yang valid, malware cukup menyediakan DLL palsu dengan export yang sesuai agar otomatis dimuat saat aplikasi berjalan.

Baca Juga tentang: Operasi Siber Menggunakan DLL Side Loading (TA416)

Ini membuat proses awal terlihat legitimate:

  • Signed executable Logitech
  • Nama plugin terlihat normal
  • Framework Flutter memang menggunakan plugin eksternal
  • Tidak membutuhkan exploit kernel atau privilege escalation

Bagi EDR, pola seperti ini jauh lebih sulit dibedakan dibanding malware standalone biasa karena proses induk berasal dari software legitimate.

Yang lebih menarik adalah loader hanya akan berjalan jika DLL dimuat oleh:

  • logiaipromptbuilder.exe
  • tclloader.exe

Tetapi langsung berhenti jika dipanggil oleh tool analyst seperti:

  • rundll32.exe
  • regsvr32.exe
  • dllhost.exe

Ini menunjukkan developer memahami workflow reverse engineering umum dan secara aktif memblokir dynamic analysis sederhana.

Environment-Gated Decryption: Anti Sandbox 

Mayoritas malware hanya melakukan VM detection lalu exit. TCLBANKER menggunakan pendekatan yang lebih canggih: environment-bound payload decryption.

Malware membangun fingerprint lingkungan berdasarkan:

  • Debugger presence
  • Hardware breakpoint
  • Disk size
  • RAM
  • CPU count
  • Username
  • Locale
  • GeoID Brasil
  • Hypervisor signature

Fingerprint ini kemudian di-XOR menjadi environment hash yang dipakai untuk derivasi AES-256 key dan IV.

Artinya, payload sebenarnya tidak bisa didekripsi dengan benar jika environment berbeda dari target yang diharapkan.

Ini jauh lebih efektif dibanding sekadar if(debugger) exit; karena:

  1. Sandbox tetap melihat malware “berjalan”
  2. Tetapi payload gagal decrypt
  3. Analyst bisa salah menyimpulkan sample rusak/corrupt
  4. Automated detonation pipeline kehilangan visibility terhadap stage berikutnya

Pendekatan seperti ini mulai sering muncul pada malware modern karena mampu merusak automated malware triage pipeline tanpa perlu obfuscation ekstrem.

TCLBANKER juga melakukan unhooking ntdll.dll langsung dari disk untuk menghapus user-mode hooks milik EDR sebelum membuat syscall trampolines sendiri untuk API sensitif seperti:

  • NtProtectVirtualMemory
  • NtAllocateVirtualMemory
  • NtQueryInformationProcess

Kemudian ETW dimatikan dengan patch:

xor eax, eax ret

Pada "EtwEventWrite."

Bagi security engineer, kombinasi:

  • ETW patching
  • direct syscall
  • ntdll refresh
  • anti-hook verification

menunjukkan malware ini memang dirancang untuk melawan telemetry modern, bukan hanya antivirus signature tradisional.

Malware Mengawasi Analyst

TCLBANKER memiliki subsystem watchdog yang berjalan paralel dengan payload utama.

Thread ini terus memonitor:

  • debugger
  • disassembler
  • named pipe Frida
  • window title IDA/Ghidra/x64dbg
  • inline hook pada BCrypt API
  • module sandbox
  • mutex analyst tools
  • integrity .text section
Anti Analyst - Ethical hacking Indonesia

Yang cukup menarik adalah integrity validation terhadap fungsi seperti:

  • BCryptDecrypt
  • BCryptOpenAlgorithmProvider

Malware memeriksa 12 byte awal fungsi untuk mendeteksi inline hook instrumentation.

Artinya, malware tidak hanya menghindari debugger, tetapi juga mencoba mendeteksi behavioral monitoring framework modern. Dalam konteks defensive engineering, ini menjadi indikator bahwa user-mode visibility saja makin tidak cukup untuk threat seperti ini.

Browser Monitoring: Banking Trojan yang “Menunggu Target”

Selalu aktif penuh, TCLBANKER memonitor browser foreground menggunakan UI Automation API.

Workflow-nya:

  1. Mendeteksi browser aktif
  2. Membaca address bar
  3. Cocokkan URL dengan daftar target bank
  4. Baru membuka sesi WebSocket C2

Ini penting karena:

  • Mengurangi network noise
  • Menurunkan peluang deteksi
  • Operator hanya aktif saat victim membuka bank target
  • Infrastruktur C2 lebih “silent”

Targetnya mencakup:

  • bank Brasil
  • fintech
  • crypto platform

Pendekatan ini memperlihatkan pergeseran dari malware noisy menjadi event-driven malware. Secara defensif, monitoring UI Automation API terhadap browser address bar bisa menjadi detection opportunity yang cukup kuat karena software normal jarang membutuhkan akses seperti ini secara terus-menerus.

Overlay WPF: Evolusi dari Banking Trojan Menjadi Fraud Platform

Bagian paling berbahaya dari TCLBANKER bukan keylogger, naum pada framework overlay berbasis WPF.

Operator dapat membuat:

  • fake banking prompt
  • fake Windows Update
  • fake processing screen
  • vishing wait screen
  • credential collection UI
  • transparent cutout window

Overlay dibuat full-screen per monitor dan menggunakan screenshot desktop sebagai background sehingga korban merasa desktop masih normal.

Kemudian malware:

  • memaksa window tetap topmost
  • memblokir Alt+F4
  • memblokir Win key
  • memblokir PrintScreen
  • menyembunyikan overlay dari screen capture

Teknik WDA_EXCLUDEFROMCAPTURE sangat menarik karena membuat overlay tidak terlihat saat operator melakukan remote streaming.

Artinya operator dapat:

  • melihat desktop asli korban
  • sementara korban hanya melihat overlay palsu

Ini adalah bentuk social engineering-assisted remote fraud yang jauh lebih maju dibanding phishing statis biasa.

Baca Juga Tentang: Overlay Attack

Skenario Eksploitasi 

Salah satu skenario paling realistis adalah kombinasi credential overlay dan vishing.

Alurnya dapat terjadi seperti berikut:

Korban menerima file MSI melalui WhatsApp dari kontak yang sudah terinfeksi. Karena pesan berasal dari orang yang dikenal, tingkat trust lebih tinggi dibanding email phishing biasa. Setelah malware aktif, operator menunggu hingga korban membuka aplikasi internet banking.

Saat domain bank terdeteksi:

  1. Overlay fake verification muncul
  2. Korban diminta memasukkan nomor telepon
  3. Malware menampilkan “Estamos entrando em contato”
  4. Operator menelepon korban menyamar sebagai fraud department bank
  5. Overlay menampilkan fake processing/update screen selama operator melakukan transaksi backend

Karena desktop korban tampak frozen, korban cenderung menganggap aplikasi bank sedang memproses keamanan tambahan. Ini operational fraud biasa yang terjadi secara umum di kasus kasus sebelumnya yang Ethical Hacking Indonesia pernah bahas.

Worm WhatsApp dan Outlook: Penyebaran Berbasis Trust Relationship

Modul worm TCLBANKER menunjukkan evolusi menarik dalam propagation model.

tidak hanya spam infrastructure biasa, malware membajak:

  • WhatsApp Web session
  • akun Outlook korban

Pada WhatsApp, malware:

  • clone browser profile
  • copy IndexedDB
  • jalankan Chromium headless
  • restore authenticated session
  • inject WA-JS

Ini memungkinkan malware mengirim pesan tanpa QR login ulang.

Pendekatan ini sangat efektif karena:

  • pesan berasal dari akun nyata
  • tidak perlu credential cracking
  • bypass reputational filtering
  • memanfaatkan social trust chain

Di Outlook, malware menggunakan COM automation untuk mengirim email langsung dari mailbox korban.

Dalam konteks enterprise security, ini berbahaya karena:

  • SPF/DKIM valid
  • email berasal dari tenant asli
  • reputasi domain tetap legitimate
  • lebih sulit dideteksi secure email gateway

Secara strategis, ini mengubah infected endpoint menjadi distribution infrastructure. 

Baca Juga Tentang: Infostealer Malware

Cloudflare Workers: Abuse Infrastruktur Trusted Platform

Semua C2 dan payload delivery di-host melalui Cloudflare Workers.

Ini memberikan beberapa keuntungan operasional:

  • TLS valid
  • reputasi tinggi
  • rotasi cepat
  • serverless deployment
  • biaya rendah
  • sulit diblok total

Banyak organisasi enggan memblok Cloudflare secara agresif karena collateral impact sangat besar.

Ini menunjukkan tren yang semakin umum:

malware modern mulai dirancang untuk dapat bersembunyi di trusted cloud platform dibanding VPS attacker tradisional.

Kondisi ini mirip dengan abuse:

  • GitHub
  • Discord CDN
  • Telegram
  • Google Drive
  • OneDrive

di mana attacker memanfaatkan trust inheriting dari platform besar.

Baca Juga Tentang: Cloudflare Abuse C2

Insight untuk Pentester dan Defender

Bagi pentester, TCLBANKER memberikan gambaran realistis bagaimana operasi fraud modern bekerja setelah initial compromise berhasil diperoleh.

Attack surface utama bukan lagi kernel exploit, tetapi:

  • trust abuse
  • signed binary sideloading
  • UI deception
  • session hijacking
  • cloud infrastructure abuse

Bagi defender, beberapa detection surface yang layak diprioritaskan:

  • DLL load anomaly pada signed application
  • ETW patching
  • UI Automation abuse terhadap browser
  • WDA_EXCLUDEFROMCAPTURE usage
  • abnormal WebSocket ke Worker infrastructure
  • Selenium + cloned browser profile activity
  • access ke WhatsApp IndexedDB
  • scheduled task persistence dengan COM Task Scheduler

Detection berbasis IOC semata kemungkinan cepat usang karena operator menggunakan serverless infrastructure yang mudah diputar ulang.

Fokus lebih efektif diarahkan pada behavioral detection dan telemetry correlation lintas proses.

TCLBANKER memperlihatkan bagaimana banking trojan modern berevolusi menjadi platform fraud interaktif yang menggabungkan:

  • anti-analysis kelas malware loader modern
  • social engineering real-time
  • remote operation
  • trusted infrastructure abuse
  • propagation berbasis hubungan sosial korban

Yang membuat malware ini berbahaya bukan hanya kemampuan teknis individualnya, tetapi bagaimana seluruh komponennya dirancang untuk mendukung operasi fraud manusia secara langsung.

Ini adalah contoh nyata bahwa batas antara malware, remote access toolkit, dan social engineering framework semakin kabur dalam ekosistem cybercrime modern.

Benediktus Sava – Security Researcher

Sumber:

Elastic-Co

Microsoft - Dynamic Link Library

Ethical Hacking Indonesia

Share this

Add Comments


EmoticonEmoticon

Langganan: Posting Komentar (Atom)