CHAVECLOAK Banking Trojos arklys nusitaiko į Braziliją

CHAVECLOAK bankininkystės Trojos arklys, nauja kibernetinė grėsmė, platina savo infekciją per SMS sukčiavimą (SMishing), sukčiavimo el. laiškus ir pažeistas svetaines.

Kibernetinio saugumo tyrimų komanda „FortiGuard Labs“ nustatė labai pavojingą Trojos arklį, vadinamą CHAVECLOAK, kuris yra skirtas būtent Brazilijos bankų vartotojams. Ši kenkėjiška programa skirta „Windows“ įrenginiams ir įsiskverbia į internetinės bankininkystės platformas, išgaudama banko kredencialus ir finansinius duomenis.

Nors CHAVECLOAK infekcijos metodo tyrimas tęsiamas, mokslininkai įtaria, kad galimi platinimo kanalai yra sukčiavimo el. laiškai, SMS sukčiavimas ir pažeistos svetainės.

Remiantis bendrovės tinklaraščio įrašu, kampanija apima kenkėjiškus el. laiškus, kurie yra teisėti banko pranešimai, viliojantys vartotojus atsisiųsti kenkėjiškų programų. Jis specialiai skirtas vartotojams, turintiems portugalų kalbos nustatymus, naudojant tokius metodus kaip DLL įkėlimas į šoną ir apgaulingi iššokantieji langai. Trojos arklys aktyviai stebi vartotojų sąveiką su finansiniais portalais.

DLL šoninis įkėlimas kelia didelę saugumo riziką, nes leidžia kenkėjiškajai programai išnaudoti teisėtus procesus nesukeliant įtarimo.

CHAVECLOAK Infiltracijos būdas

Kenkėjiška programa perima aukų įrenginių valdymą ir įgyja slaptą finansinę informaciją per kenkėjišką PDF failą, užmaskuotą kaip sutarties dokumentai portugalų kalba. PDF faile yra kenkėjiškos atsisiuntimo programos nuoroda, apdorota per Goo.su, nukreipianti į ZIP failą, o galiausiai gaunamas MSI failas „NotafiscalGFGJKHKHGUURTURTF345.msi“.

Išskleidus MSI diegimo programą, atskleidžiami keli TXT failai, teisėtas vykdymo failas ir kenkėjiškas DLL, pavadintas „Lightshot.dll“. Diegimo programa vykdo failą „Lightshot.exe“, naudodama DLL šalutinio įkėlimo metodus, leidžiančius diskretiškai vykdyti kenkėjišką kodą ir vykdyti neteisėtą veiklą, pvz., duomenų vagystes.

Be to, kenkėjiška programa naudoja „GetVolumeInformationW“ procesą, kad surinktų failų sistemos ir apimties informaciją, sugeneruotų žurnalo failą ir vartotojui prisijungus paleidžiama „Lightshot.exe“. Jis siunčia HTTP užklausas, registruoja duomenis ir stebi priekinio plano langą naudodamas API „GetForegroundWindow“ ir „GetWindowTextW“.

Trojos arklys bendrauja su savo C2 serveriu, palengvindamas veiksmus, tokius kaip kredencialų vagystė, ekranų blokavimas, klavišų paspaudimų registravimas ir apgaulingų iškylančių langų rodymas.

Pažymėtina, kad kenkėjiška programa aktyviai stebi prieigą prie finansinių portalų, įskaitant Mercado Bitcoin, didžiausią skaitmeninių valiutų keityklą Brazilijoje ir Lotynų Amerikoje, kuri apima ir įprastas, ir kriptovaliutų platformas bei tradicinius bankus.

Pavogta informacija įkeliama įvairiais būdais, nes kenkėjiška programa sukonfigūruoja paskyros duomenis ir siunčia POST užklausą, pabrėždama šiuolaikinių bankininkystės Trojos arklių sudėtingumą.