Το CHAVECLOAK Banking Trojan στοχεύει στη Βραζιλία

Το CHAVECLOAK banking Trojan, μια νέα απειλή στον κυβερνοχώρο, εξαπλώνει τη μόλυνση του μέσω SMS phishing (SMishing), ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος και παραβιασμένων ιστοσελίδων.

Η FortiGuard Labs, μια ερευνητική ομάδα κυβερνοασφάλειας, εντόπισε έναν Trojan υψηλής σοβαρότητας που ονομάζεται CHAVECLOAK και στοχεύει συγκεκριμένα χρήστες τραπεζών της Βραζιλίας. Αυτό το κακόβουλο λογισμικό έχει σχεδιαστεί για συσκευές Windows και διεισδύει σε διαδικτυακές πλατφόρμες τραπεζικών συναλλαγών, εξάγοντας τραπεζικά διαπιστευτήρια και οικονομικά δεδομένα.

Αν και η έρευνα για τη μέθοδο μόλυνσης CHAVECLOAK βρίσκεται σε εξέλιξη, οι ερευνητές υποψιάζονται ότι τα πιθανά κανάλια διανομής περιλαμβάνουν μηνύματα ηλεκτρονικού ψαρέματος, ηλεκτρονικό ψάρεμα SMS και παραβιασμένους ιστότοπους.

Σύμφωνα με μια ανάρτηση ιστολογίου από την εταιρεία, η καμπάνια περιλαμβάνει κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που παρουσιάζονται ως νόμιμες τραπεζικές επικοινωνίες, παρασύροντας τους χρήστες να κατεβάσουν κακόβουλο λογισμικό. Στοχεύει συγκεκριμένα χρήστες με ρυθμίσεις πορτογαλικής γλώσσας, χρησιμοποιώντας τεχνικές όπως η παράπλευρη φόρτωση DLL και τα παραπλανητικά αναδυόμενα παράθυρα. Το Trojan παρακολουθεί ενεργά τις αλληλεπιδράσεις των χρηστών με τις οικονομικές πύλες.

Η παράπλευρη φόρτωση DLL παρουσιάζει σημαντικό κίνδυνο ασφάλειας, καθώς επιτρέπει στο κακόβουλο λογισμικό να εκμεταλλεύεται νόμιμες διαδικασίες χωρίς να δημιουργεί υποψίες.

CHAVECLOAK Τρόπος διείσδυσης

Το κακόβουλο λογισμικό αναλαμβάνει τον έλεγχο των συσκευών των θυμάτων και αποκτά ευαίσθητες οικονομικές πληροφορίες μέσω ενός κακόβουλου αρχείου PDF που είναι μεταμφιεσμένο ως έγγραφα συμβολαίου στα πορτογαλικά. Το PDF περιέχει έναν κακόβουλο σύνδεσμο λήψης που υποβάλλεται σε επεξεργασία μέσω του Goo.su, ο οποίος οδηγεί σε ένα αρχείο ZIP, το οποίο τελικά καταλήγει στο αρχείο MSI "NotafiscalGFGJKHKHGUURTURTF345.msi".

Μετά την αποσυμπίεση, το πρόγραμμα εγκατάστασης MSI αποκαλύπτει πολλά αρχεία TXT, ένα νόμιμο αρχείο εκτέλεσης και ένα κακόβουλο DLL με το όνομα "Lightshot.dll". Το πρόγραμμα εγκατάστασης εκτελεί το αρχείο "Lightshot.exe" χρησιμοποιώντας τεχνικές πλευρικής φόρτωσης DLL, επιτρέποντας τη διακριτική εκτέλεση του κακόβουλου κώδικα και μη εξουσιοδοτημένες δραστηριότητες όπως η κλοπή δεδομένων.

Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιεί τη διαδικασία "GetVolumeInformationW" για τη συλλογή πληροφοριών συστήματος αρχείων και τόμου, δημιουργεί ένα αρχείο καταγραφής και εκτελεί το "Lightshot.exe" κατά τη σύνδεση του χρήστη. Στέλνει αιτήματα HTTP, καταγράφει δεδομένα και παρακολουθεί το παράθυρο προσκηνίου χρησιμοποιώντας τα API "GetForegroundWindow" και "GetWindowTextW".

Ο Trojan επικοινωνεί με τον διακομιστή του C2, διευκολύνοντας ενέργειες όπως η κλοπή διαπιστευτηρίων, ο αποκλεισμός οθονών, η καταγραφή πληκτρολογήσεων και η εμφάνιση παραπλανητικών αναδυόμενων παραθύρων.

Συγκεκριμένα, το κακόβουλο λογισμικό παρακολουθεί ενεργά την πρόσβαση σε χρηματοοικονομικές πύλες, συμπεριλαμβανομένου του Mercado Bitcoin, του μεγαλύτερου ανταλλακτηρίου ψηφιακών νομισμάτων στη Βραζιλία και τη Λατινική Αμερική, το οποίο περιλαμβάνει συμβατικές πλατφόρμες και πλατφόρμες κρυπτονομισμάτων και παραδοσιακές τράπεζες.

Οι κλεμμένες πληροφορίες μεταφορτώνονται σε διάφορες διαδρομές καθώς το κακόβουλο λογισμικό διαμορφώνει τις παραμέτρους του λογαριασμού και στέλνει ένα αίτημα POST, υπογραμμίζοντας την πολυπλοκότητα των σύγχρονων trojans τραπεζών.