El troyano bancario CHAVECLOAK ataca a Brasil

El troyano bancario CHAVECLOAK, una nueva amenaza cibernética, está propagando su infección a través de phishing por SMS (SMishing), correos electrónicos de phishing y sitios web comprometidos.

FortiGuard Labs, un equipo de investigación de ciberseguridad, ha identificado un troyano de alta gravedad llamado CHAVECLOAK que apunta específicamente a usuarios de bancos brasileños. Este malware está diseñado para dispositivos Windows y se infiltra en las plataformas bancarias en línea, extrayendo credenciales bancarias y datos financieros.

Aunque la investigación sobre el método de infección CHAVECLOAK está en curso, los investigadores sospechan que los posibles canales de distribución incluyen correos electrónicos de phishing, phishing por SMS y sitios web comprometidos.

Según una publicación de blog de la compañía, la campaña involucra correos electrónicos maliciosos que se hacen pasar por comunicaciones bancarias legítimas, incitando a los usuarios a descargar malware. Se dirige específicamente a usuarios con configuración de idioma portugués, utilizando técnicas como la descarga de archivos DLL y ventanas emergentes engañosas. El troyano monitorea activamente las interacciones de los usuarios con los portales financieros.

La descarga de DLL presenta un riesgo de seguridad importante, ya que permite que el malware explote procesos legítimos sin levantar sospechas.

CHAVECLOAK Modo de infiltración

El malware toma el control de los dispositivos de las víctimas y adquiere información financiera confidencial a través de un archivo PDF malicioso disfrazado de documentos contractuales en portugués. El PDF contiene un enlace de descarga malicioso procesado a través de Goo.su, que lleva a un archivo ZIP, lo que finalmente genera el archivo MSI "NotafiscalGFGJKHKHGUURTURTF345.msi".

Tras la descompresión, el instalador MSI revela varios archivos TXT, un archivo de ejecución legítimo y una DLL maliciosa llamada "Lightshot.dll". El instalador ejecuta el archivo "Lightshot.exe" utilizando técnicas de descarga de DLL, lo que permite la ejecución discreta del código malicioso y actividades no autorizadas como el robo de datos.

Además, el malware utiliza el proceso "GetVolumeInformationW" para recopilar información del volumen y del sistema de archivos, genera un archivo de registro y ejecuta "Lightshot.exe" cuando el usuario inicia sesión. Envía solicitudes HTTP, registra datos y monitorea la ventana de primer plano utilizando las API "GetForegroundWindow" y "GetWindowTextW".

El troyano se comunica con su servidor C2, facilitando acciones como robar credenciales, bloquear pantallas, registrar pulsaciones de teclas y mostrar ventanas emergentes engañosas.

En particular, el malware monitorea activamente el acceso a portales financieros, incluido Mercado Bitcoin, el mayor intercambio de moneda digital de Brasil y América Latina, que abarca plataformas convencionales y de criptomonedas y bancos tradicionales.

La información robada se carga en varias rutas a medida que el malware configura los detalles de la cuenta y envía una solicitud POST, lo que resalta la sofisticación de los troyanos bancarios contemporáneos.