Der Banking-Trojaner CHAVECLOAK zielt auf Brasilien ab

Der Banking-Trojaner CHAVECLOAK, eine neue Cyber-Bedrohung, verbreitet seine Infektion über SMS-Phishing (SMishing), Phishing-E-Mails und kompromittierte Websites.

FortiGuard Labs, ein Forschungsteam für Cybersicherheit, hat einen hochgefährlichen Trojaner namens CHAVECLOAK identifiziert, der speziell auf Benutzer brasilianischer Banken abzielt. Diese Malware wurde für Windows-Geräte entwickelt und infiltriert Online-Banking-Plattformen, indem sie Bankzugangsdaten und Finanzdaten entwendet.

Obwohl die Untersuchung der CHAVECLOAK-Infektionsmethode noch andauert, vermuten Forscher, dass potenzielle Verbreitungskanäle Phishing-E-Mails, SMS-Phishing und kompromittierte Websites umfassen.

Einem Blogbeitrag des Unternehmens zufolge handelt es sich bei der Kampagne um bösartige E-Mails, die sich als legitime Bankkommunikation ausgeben und Benutzer zum Herunterladen von Malware verleiten. Es richtet sich speziell an Benutzer mit portugiesischen Spracheinstellungen und nutzt Techniken wie DLL-Sideloading und irreführende Popups. Der Trojaner überwacht aktiv die Interaktionen der Benutzer mit Finanzportalen.

Das Sideloading von DLLs stellt ein erhebliches Sicherheitsrisiko dar, da es der Malware ermöglicht, legitime Prozesse auszunutzen, ohne Verdacht zu erregen.

CHAVECLOAK Art der Infiltration

Die Malware übernimmt die Kontrolle über die Geräte der Opfer und erbeutet sensible Finanzinformationen über eine bösartige PDF-Datei, die als Vertragsdokumente auf Portugiesisch getarnt ist. Das PDF enthält einen bösartigen Downloader-Link, der über Goo.su verarbeitet wurde und zu einer ZIP-Datei führt, die letztendlich zur MSI-Datei „NotafiscalGFGJKHKHGUURTURTF345.msi“ führt.

Bei der Dekomprimierung enthüllt das MSI-Installationsprogramm mehrere TXT-Dateien, eine legitime Ausführungsdatei und eine bösartige DLL namens „Lightshot.dll“. Das Installationsprogramm führt die Datei „Lightshot.exe“ mithilfe von DLL-Sideloading-Techniken aus und ermöglicht so die diskrete Ausführung des Schadcodes und unbefugte Aktivitäten wie Datendiebstahl.

Darüber hinaus nutzt die Malware den Prozess „GetVolumeInformationW“, um Dateisystem- und Volume-Informationen zu sammeln, eine Protokolldatei zu generieren und „Lightshot.exe“ bei der Benutzeranmeldung auszuführen. Es sendet HTTP-Anfragen, protokolliert Daten und überwacht das Vordergrundfenster mithilfe der APIs „GetForegroundWindow“ und „GetWindowTextW“.

Der Trojaner kommuniziert mit seinem C2-Server und ermöglicht Aktionen wie das Stehlen von Anmeldeinformationen, das Blockieren von Bildschirmen, das Protokollieren von Tastenanschlägen und das Anzeigen irreführender Popup-Fenster.

Insbesondere überwacht die Malware aktiv den Zugriff auf Finanzportale, darunter Mercado Bitcoin, die größte digitale Währungsbörse in Brasilien und Lateinamerika, die sowohl konventionelle als auch Kryptowährungsplattformen und traditionelle Banken umfasst.

Gestohlene Informationen werden auf verschiedene Pfade hochgeladen, während die Malware Kontodetails konfiguriert und eine POST-Anfrage sendet, was die Raffinesse moderner Banktrojaner unterstreicht.