A CHAVECLOAK Banking Trojan Brazíliát célozza meg

A CHAVECLOAK banki trójai, egy új kiberfenyegetés, SMS adathalászattal (SMishing), adathalász e-mailekkel és feltört webhelyekkel terjeszti fertőzését.

A FortiGuard Labs, a kiberbiztonsági kutatócsoport azonosította a CHAVECLOAK nevű, súlyos trójai programot, amely kifejezetten a brazil bankok felhasználóit célozza meg. Ez a rosszindulatú program Windows-eszközökhöz készült, és behatol az online banki platformokba, banki hitelesítő adatokat és pénzügyi adatokat kinyerve.

Bár a CHAVECLOAK fertőzési módszer vizsgálata folyamatban van, a kutatók azt gyanítják, hogy a lehetséges terjesztési csatornák közé tartoznak az adathalász e-mailek, az SMS-es adathalászat és a feltört webhelyek.

A cég blogbejegyzése szerint a kampány rosszindulatú e-maileket tartalmaz, amelyek legitim banki kommunikációnak adják ki magukat, és ráveszik a felhasználókat, hogy rosszindulatú programokat töltsenek le. Kifejezetten a portugál nyelvi beállításokkal rendelkező felhasználókat célozza meg, olyan technikákat használva, mint a DLL oldalbetöltés és a megtévesztő előugró ablakok. A trójai aktívan figyeli a felhasználók pénzügyi portálokkal való interakcióját.

A DLL oldalbetöltése jelentős biztonsági kockázatot jelent, mivel lehetővé teszi a rosszindulatú programok számára, hogy gyanú nélkül kihasználják a legitim folyamatokat.

CHAVECLOAK A beszivárgás módja

A rosszindulatú program átveszi az irányítást az áldozatok eszközei felett, és érzékeny pénzügyi információkat szerez egy portugál nyelvű szerződésdokumentumnak álcázott rosszindulatú PDF-fájlon keresztül. A PDF egy rosszindulatú letöltő hivatkozást tartalmaz, amelyet a Goo.su-n keresztül dolgoztak fel, és amely egy ZIP-fájlhoz vezet, ami végül a „NotafiscalGFGJKHKHGUURTURTF345.msi” MSI-fájlt eredményezi.

Kitömörítéskor az MSI telepítője több TXT-fájlt, egy legitim végrehajtó fájlt és egy "Lightshot.dll" nevű rosszindulatú DLL-t fed fel. A telepítő a "Lightshot.exe" fájlt DLL oldalbetöltési technikákkal hajtja végre, lehetővé téve a rosszindulatú kód diszkrét végrehajtását és az illetéktelen tevékenységeket, például az adatlopást.

Ezenkívül a rosszindulatú program a "GetVolumeInformationW" folyamatot használja a fájlrendszer- és kötetinformációk összegyűjtésére, naplófájlt generál, és a felhasználó bejelentkezéskor végrehajtja a "Lightshot.exe" fájlt. HTTP kéréseket küld, adatokat naplóz, és figyeli az előtér ablakát a „GetForegroundWindow” és a „GetWindowTextW” API-k segítségével.

A trójai kommunikál a C2 szerverével, megkönnyítve az olyan műveleteket, mint a hitelesítő adatok ellopása, a képernyők blokkolása, a billentyűleütések naplózása és a megtévesztő felugró ablakok megjelenítése.

Nevezetesen, a kártevő aktívan felügyeli a pénzügyi portálokhoz való hozzáférést, beleértve a Mercado Bitcoint, Brazília és Latin-Amerika legnagyobb digitális valutaváltóját, amely mind a hagyományos, mind a kriptovaluta platformokat és a hagyományos bankokat egyaránt felöleli.

Az ellopott információk különböző utakra kerülnek feltöltésre, miközben a kártevő konfigurálja a számlaadatokat, és POST-kérést küld, kiemelve a kortárs banki trójaiak kifinomultságát.