brezilyalı bankacılık truva atı tclbanker whatsapp ve outlook üzerinden yayılıyor

Posted on 9 May 2026

arkadaşlar, elastic security labs yeni bir brezilyalı bankacılık truva atı tespit etmiş. tclbanker diyorlar buna ve ciddi ciddi 59 farklı bankacılık, fintech ve kripto platformunu hedef alıyor. whatsapp ve outlook üzerinden solucan gibi yayılıyormuş.

ne var ne yok bu işte

elastic security labs’ın REF3076 koduyla takip ettiği bu kampanya, aslında maverick truva atının büyük bir güncellemesi. hatırlarsınız belki, maverick SORVEPOTEL denen bir solucan kullanarak yayılıyordu. işte tclbanker da aynı taktiği kullanıyor ama daha gelişmiş.

spoiler: bu malware whatsapp ve outlook üzerinden otomatik olarak yayılıyor, yani bir kullanıcı bulaşırsa tüm iletişim listesine gidebilir bu şey.

nasıl çalışıyor bu bela

tclbanker’ın çalışma mantığı şöyle:

  1. bulaşma: whatsapp veya outlook üzerinden zararlı link/dosya geliyor
  2. kurulum: sisteme yerleşiyor ve kendini gizliyor
  3. yayılma: kurbanın iletişim listesindeki herkese otomatik mesaj gönderiyor
  4. saldırı: 59 farklı finansal platformu hedef alıyor - banka girişlerini, kripto cüzdanlarını vs. çalıyor

brezilyalı threat actor’ların işi bu zaten, bankacılık truva atları konusunda uzmanlar. ama bu sefer solucan özelliği ekleyerek işi bir üst seviyeye taşımışlar.

hangi platformlar hedefte

elastic security labs’ın raporuna göre şu tür platformlar risk altında:

Platform TipiDurum
Bankacılık uygulamaları✅ Hedefte (59 platform)
Fintech servisleri✅ Hedefte
Kripto borsaları✅ Hedefte
Kripto cüzdanları✅ Hedefte

ne yapmalısınız

agalar, şimdi yapmanız gerekenler:

kullanıcı eğitimi (acil)

# kullanıcılarınıza şunu anlatın:
# 1. whatsapp'tan gelen şüpheli linklere tıklamayın
# 2. outlook'ta bilinmeyen gönderenlerin eklerini açmayın
# 3. "fatura", "ödeme bildirimi" gibi başlıklara dikkat
# 4. arkadaşınızdan gelen link bile olsa şüphelenin

endpoint koruma

# windows sistemlerde şüpheli process'leri kontrol edin
Get-Process | Where-Object {$_.ProcessName -like "*tcl*"}

# otomatik başlangıç kayıtlarını inceleyin
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Run
Get-ItemProperty HKCU:\Software\Microsoft\Windows\CurrentVersion\Run

ağ seviyesi önlemler

# şüpheli dış bağlantıları izleyin
# özellikle brezilya ip'lerine dikkat
# firewall'da banking domain'lerine giden trafiği logla

mail filtreleme

  • outlook’ta makro içeren dosyaları engelleyin
  • .zip, .rar içinde .exe uzantılı dosyaları blokla
  • spam filtrenizi sıkılaştırın

elastic security labs tespit kuralları

elastic kullanıyorsanız, şu detection rule’ları aktif edin:

# REF3076 kampanyası için özel kurallar
# elastic security labs bunları paylaşmış
# siem'inize import edin

edit: elastic security labs’ın tam raporunu okuyun, orada IOC’ler (indicator of compromise) ve yara rule’ları var.

brezilyalı banking trojan’ları neden bu kadar yaygın

arkadaşlar bi parantez açayım, brezilya’daki siber suç ekosistemi çok gelişmiş. özellikle bankacılık truva atları konusunda dünya liderleri diyebiliriz. bunun sebepleri:

  • gelişmiş malware-as-a-service altyapısı
  • yerel dilde (portekizce) hedef odaklı saldırılar
  • güçlü sosyal mühendislik teknikleri
  • sürekli güncellenen ve evrimleşen malware’ler

tclbanker da bu ekosistemin son ürünü. maverick’ten öğrendikleri dersleri almışlar ve daha tehlikeli bir versiyon çıkarmışlar ortaya.

solucan özelliği neden tehlikeli

dikkat: normal bir truva atı sadece bulaştığı sistemi etkiler. ama solucan özelliği olan malware, kendi kendine yayılır. yani:

  1. bir kullanıcı bulaşır
  2. o kullanıcının whatsapp/outlook’undan herkese mesaj gider
  3. mesajı açan herkes bulaşır
  4. onlar da kendi listelerine yayar
  5. üssel büyüme başlar

kısacası, bir kişiden başlayıp tüm organizasyonu ele geçirebilir. o yüzden çok ciddi bi şekilde kullanıcı eğitimi yapın.

geçici çözümler

eğer hemen kapsamlı önlem alamıyorsanız, şunları yapın:

  • whatsapp web’i kurumsal bilgisayarlarda kapatın
  • outlook’ta dış kaynaklı maillerdeki linklere uyarı banner’ı ekleyin
  • usb portlarını kapatın (lateral movement için kullanılabilir)
  • banking sitelerine sadece vpn üzerinden erişim verin
  • multi-factor authentication’ı zorunlu hale getirin

spoiler: bunlar kalıcı çözüm değil, sadece zaman kazandırır. asıl işi yapmanız lazım.

peki ya bulaşmışsak

sisteminizde tclbanker olduğundan şüpheleniyorsanız:

# 1. sistemi ağdan izole edin (hemen)
# 2. tüm şifreleri değiştirin (başka bir cihazdan)
# 3. bankacılık işlemlerini durdurun
# 4. forensic analiz yapın veya yaptırın
# 5. sistemi sıfırdan kurun (format en garantisi)

dikkat: “temizledim” demeyin, format atın. bu tür banking trojan’ları çok iyi gizlenirler.

kaynaklar

not: elastic security labs’ın raporunda daha detaylı IOC’ler ve teknik analiz var, mutlaka okuyun.

son söz

arkadaşlar, brezilyalı banking trojan’ları ciddiye alın. özellikle finansal sektördeyseniz, bu tclbanker kampanyasını yakından takip edin. whatsapp ve outlook üzerinden yayılması çok tehlikeli, çünkü kullanıcılar tanıdıklarından gelince güveniyorlar.

şunu bi yapın: bugün acil bir kullanıcı eğitimi toplantısı düzenleyin. “arkadaşından gelen link bile olsa şüpheleneceksin” diye anlatın. sosyal mühendisliğe karşı en iyi savunma bilinçli kullanıcılar.

yedeklerinizi alın, mfa’yı açın, log’larınızı izleyin. klasik tavsiyeler ama hala en etkili olanlar.

kolay gelsin agalar, sağlıcakla kalın.

Bu içerik yapay zeka tarafından oluşturulmuştur.