Il trojan bancario CHAVECLOAK prende di mira il Brasile

Il trojan bancario CHAVECLOAK, una nuova minaccia informatica, sta diffondendo la sua infezione tramite phishing via SMS (SMishing), e-mail di phishing e siti Web compromessi.

FortiGuard Labs, un gruppo di ricerca sulla sicurezza informatica, ha identificato un trojan di elevata gravità chiamato CHAVECLOAK che prende di mira specificamente gli utenti delle banche brasiliane. Questo malware è progettato per i dispositivi Windows e si infiltra nelle piattaforme bancarie online, estraendo credenziali bancarie e dati finanziari.

Sebbene le indagini sul metodo di infezione CHAVECLOAK siano ancora in corso, i ricercatori sospettano che i potenziali canali di distribuzione includano e-mail di phishing, phishing tramite SMS e siti Web compromessi.

Secondo un post sul blog dell'azienda, la campagna coinvolge e-mail dannose che si spacciano per comunicazioni bancarie legittime, inducendo gli utenti a scaricare malware. Si rivolge specificamente agli utenti con impostazioni della lingua portoghese, utilizzando tecniche come il sideloading DLL e popup ingannevoli. Il Trojan monitora attivamente le interazioni degli utenti con i portali finanziari.

Il sideloading DLL presenta un rischio significativo per la sicurezza poiché consente al malware di sfruttare processi legittimi senza destare sospetti.

CHAVECLOAK Modalità di infiltrazione

Il malware prende il controllo dei dispositivi delle vittime e acquisisce informazioni finanziarie sensibili attraverso un file PDF dannoso mascherato da documenti contrattuali in portoghese. Il PDF contiene un collegamento downloader dannoso elaborato tramite Goo.su, che porta a un file ZIP, che alla fine risulta nel file MSI "NotafiscalGFGJKHKHGUURTURTF345.msi".

Dopo la decompressione, il programma di installazione MSI rivela più file TXT, un file di esecuzione legittimo e una DLL dannosa denominata "Lightshot.dll". Il programma di installazione esegue il file "Lightshot.exe" utilizzando tecniche di sideloading DLL, consentendo l'esecuzione discreta del codice dannoso e di attività non autorizzate come il furto di dati.

Inoltre, il malware utilizza il processo "GetVolumeInformationW" per raccogliere informazioni sul file system e sul volume, genera un file di registro ed esegue "Lightshot.exe" all'accesso dell'utente. Invia richieste HTTP, registra dati e monitora la finestra in primo piano utilizzando le API "GetForegroundWindow" e "GetWindowTextW".

Il Trojan comunica con il suo server C2, facilitando azioni come il furto di credenziali, il blocco delle schermate, la registrazione delle sequenze di tasti e la visualizzazione di finestre pop-up ingannevoli.

In particolare, il malware monitora attivamente l’accesso ai portali finanziari, tra cui Mercado Bitcoin, il più grande cambio di valuta digitale in Brasile e America Latina, che comprende sia piattaforme convenzionali che di criptovaluta e banche tradizionali.

Le informazioni rubate vengono caricate su vari percorsi mentre il malware configura i dettagli dell'account e invia una richiesta POST, evidenziando la sofisticatezza dei trojan bancari contemporanei.