브라질 노린 TCLBANKER, 왓츠앱·아웃룩 계정 악용해 피싱 확산
||2026.05.10
![브라질을 겨냥한 새 뱅킹 트로이목마가 나타났다 [사진: 셔터스톡]](https://contents-cdn.viewus.co.kr/image/2026/05/CP-2023-0397/image-1f9d8af6-4a80-4d12-84a0-4fa9ee01d4ea.jpeg)
[디지털투데이 AI리포터] 브라질을 겨냥한 새 뱅킹 트로이목마 'TCLBANKER'가 감염된 PC에서 왓츠앱과 아웃룩 계정을 탈취해 피해자 연락처로 피싱 메시지를 퍼뜨리는 것으로 나타났다.
9일(현지시간) 블록체인 매체 크립토폴리탄에 따르면 이 악성코드는 브라질의 은행, 핀테크, 암호화폐 관련 사이트를 노리며 원격 제어 기능도 갖췄다.
엘라스틱 시큐리티 랩스는 이번 공격 캠페인을 'REF3076'으로 분류했다. 연구진은 공통 인프라와 코드 패턴을 근거로 TCLBANKER를 기존 악성코드 계열인 MAVERICK/SORVEPOTEL과 연결했다.
뱅킹 모듈은 브라질 환경에서만 활성화됐다. 지역 코드, 시간대, 시스템 로캘, 키보드 배열 등을 확인하는 지역 제한 검사를 거친 뒤 윈도 UI 자동화로 크롬, 파이어폭스, 엣지, 브레이브, 오페라, 비발디 등 브라우저 주소창을 읽고 활성 URL을 1초마다 감시했다. 이어 암호화된 59개 URL 목록과 대조해 브라질의 암호화폐, 은행, 핀테크 사이트 접속 여부를 확인했다.
확산은 왓츠앱과 아웃룩 계정을 이용해 이뤄졌다. 왓츠앱 봇은 크로미움 기반 브라우저에서 활성화된 왓츠앱 웹 세션을 찾고 브라우저 프로필을 복제한 뒤, 화면 없는 크로미움 인스턴스를 실행해 자바스크립트를 주입했다.
아웃룩 봇은 COM 자동화로 계정에 접근했다. 연락처 폴더와 받은편지함 기록에서 이메일 주소를 모은 뒤 피해자 계정으로 피싱 메일을 발송했다. 실제 계정에서 메일이 발송돼 스팸 필터를 우회할 가능성도 커졌다고 매체는 전했다.
