Le cheval de Troie bancaire CHAVECLOAK cible le Brésil

Le cheval de Troie bancaire CHAVECLOAK, une nouvelle cybermenace, propage son infection via le phishing par SMS (SMishing), les e-mails de phishing et les sites Web compromis.

FortiGuard Labs, une équipe de recherche en cybersécurité, a identifié un cheval de Troie de haute gravité appelé CHAVECLOAK qui cible spécifiquement les utilisateurs des banques brésiliennes. Ce malware est conçu pour les appareils Windows et infiltre les plateformes bancaires en ligne, extrayant les informations d'identification bancaires et les données financières.

Bien que l'enquête sur la méthode d'infection CHAVECLOAK soit en cours, les chercheurs soupçonnent que les canaux de distribution potentiels incluent les e-mails de phishing, le phishing par SMS et les sites Web compromis.

Selon un article de blog de l'entreprise, la campagne implique des courriels malveillants se faisant passer pour des communications bancaires légitimes, incitant les utilisateurs à télécharger des logiciels malveillants. Il cible spécifiquement les utilisateurs ayant des paramètres de langue portugaise, en utilisant des techniques telles que le chargement latéral de DLL et les fenêtres contextuelles trompeuses. Le cheval de Troie surveille activement les interactions des utilisateurs avec les portails financiers.

Le chargement latéral de DLL présente un risque de sécurité important car il permet aux logiciels malveillants d'exploiter des processus légitimes sans éveiller les soupçons.

Mode d'infiltration de CHAVECLOAK

Le malware prend le contrôle des appareils des victimes et acquiert des informations financières sensibles via un fichier PDF malveillant déguisé en documents contractuels en portugais. Le PDF contient un lien de téléchargement malveillant traité via Goo.su, menant à un fichier ZIP, aboutissant finalement au fichier MSI « NotafiscalGFGJKHKHGUURTURTF345.msi ».

Lors de la décompression, le programme d'installation MSI révèle plusieurs fichiers TXT, un fichier d'exécution légitime et une DLL malveillante nommée "Lightshot.dll". Le programme d'installation exécute le fichier « Lightshot.exe » à l'aide de techniques de chargement latéral de DLL, permettant l'exécution discrète du code malveillant et des activités non autorisées comme le vol de données.

De plus, le logiciel malveillant utilise le processus « GetVolumeInformationW » pour collecter des informations sur le système de fichiers et le volume, génère un fichier journal et exécute « Lightshot.exe » lors de la connexion de l'utilisateur. Il envoie des requêtes HTTP, enregistre les données et surveille la fenêtre de premier plan à l'aide des API « GetForegroundWindow » et « GetWindowTextW ».

Le cheval de Troie communique avec son serveur C2, facilitant des actions telles que le vol d'informations d'identification, le blocage d'écrans, l'enregistrement des frappes au clavier et l'affichage de fenêtres pop-up trompeuses.

Le malware surveille notamment activement l’accès aux portails financiers, notamment Mercado Bitcoin, le plus grand échange de devises numériques au Brésil et en Amérique latine, qui englobe à la fois les plateformes conventionnelles et de crypto-monnaie et les banques traditionnelles.

Les informations volées sont téléchargées via différents chemins à mesure que le logiciel malveillant configure les détails du compte et envoie une requête POST, mettant en évidence la sophistication des chevaux de Troie bancaires contemporains.

Par Zaib
March 6, 2024
Computer Security
Français
March 6, 2024
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.