CHAVECLOAK Banking Trojan retter sig mod Brasilien

CHAVECLOAK banking Trojan, en ny cybertrussel, spreder sin infektion gennem SMS-phishing (SMishing), phishing-e-mails og kompromitterede websteder.

FortiGuard Labs, et cybersikkerhedsforskerhold, har identificeret en trojaner af høj sværhedsgrad kaldet CHAVECLOAK, der specifikt er rettet mod brugere af brasilianske banker. Denne malware er designet til Windows-enheder og infiltrerer onlinebankplatforme, udtrækker bankoplysninger og økonomiske data.

Selvom undersøgelsen af CHAVECLOAK-infektionsmetoden er i gang, har forskere mistanke om, at potentielle distributionskanaler omfatter phishing-e-mails, SMS-phishing og kompromitterede websteder.

Ifølge et blogindlæg fra virksomheden involverer kampagnen ondsindede e-mails, der optræder som legitim bankkommunikation, der lokker brugere til at downloade malware. Det er specifikt rettet mod brugere med portugisiske sprogindstillinger ved at bruge teknikker som DLL-sideindlæsning og vildledende pop-ups. Trojaneren overvåger aktivt brugernes interaktion med finansielle portaler.

DLL-sideindlæsning udgør en betydelig sikkerhedsrisiko, da den tillader malware at udnytte legitime processer uden at vække mistanke.

CHAVECLOAK Infiltrationsmåde

Malwaren tager kontrol over ofrenes enheder og erhverver følsomme finansielle oplysninger gennem en ondsindet PDF-fil forklædt som kontraktdokumenter på portugisisk. PDF'en indeholder et ondsindet downloader-link behandlet via Goo.su, hvilket fører til en ZIP-fil, der i sidste ende resulterer i MSI-filen "NotafiscalGFGJKHKHGUURTURTF345.msi."

Ved dekomprimering afslører MSI-installationsprogrammet flere TXT-filer, en legitim udførelsesfil og en ondsindet DLL ved navn "Lightshot.dll." Installationsprogrammet udfører filen "Lightshot.exe" ved hjælp af DLL-sideindlæsningsteknikker, hvilket muliggør diskret eksekvering af den ondsindede kode og uautoriserede aktiviteter som datatyveri.

Desuden bruger malwaren "GetVolumeInformationW"-processen til at indsamle filsystem- og volumenoplysninger, genererer en logfil og udfører "Lightshot.exe" ved brugerlogin. Den sender HTTP-anmodninger, logger data og overvåger forgrundsvinduet ved hjælp af API'erne "GetForegroundWindow" og "GetWindowTextW."

Trojaneren kommunikerer med sin C2-server, hvilket letter handlinger såsom at stjæle legitimationsoplysninger, blokere skærme, logge tastetryk og vise vildledende pop-up-vinduer.

Navnlig overvåger malwaren aktivt adgangen til finansielle portaler, herunder Mercado Bitcoin, den største digitale valutabørs i Brasilien og Latinamerika, som omfatter både konventionelle og kryptovalutaplatforme og traditionelle banker.

Stjålet information uploades til forskellige stier, efterhånden som malwaren konfigurerer kontooplysninger og sender en POST-anmodning, der fremhæver det sofistikerede ved moderne banktrojanske heste.