CHAVECLOAK Banking Trojan retter seg mot Brasil

CHAVECLOAK banking Trojan, en ny cybertrussel, sprer infeksjonen gjennom SMS-phishing (SMishing), phishing-e-poster og kompromitterte nettsteder.

FortiGuard Labs, et forskningsteam for cybersikkerhet, har identifisert en trojaner med høy alvorlighetsgrad kalt CHAVECLOAK som spesifikt retter seg mot brukere av brasilianske banker. Denne skadelige programvaren er utviklet for Windows-enheter og infiltrerer nettbankplattformer, trekker ut banklegitimasjon og økonomiske data.

Selv om etterforskningen av CHAVECLOAK-infeksjonsmetoden pågår, mistenker forskere at potensielle distribusjonskanaler inkluderer phishing-e-post, SMS-phishing og kompromitterte nettsteder.

I følge et blogginnlegg fra selskapet involverer kampanjen ondsinnede e-poster som utgir seg som legitim bankkommunikasjon, og lokker brukere til å laste ned skadelig programvare. Den retter seg spesifikt mot brukere med portugisiske språkinnstillinger, ved å bruke teknikker som DLL-sidelasting og villedende popup-vinduer. Trojaneren overvåker aktivt brukernes interaksjoner med finansielle portaler.

DLL-sidelasting utgjør en betydelig sikkerhetsrisiko ettersom den lar skadevare utnytte legitime prosesser uten å vekke mistanke.

CHAVECLOAK Infiltrasjonsmodus

Skadevaren tar kontroll over ofrenes enheter og skaffer sensitiv økonomisk informasjon gjennom en ondsinnet PDF-fil forkledd som kontraktsdokumenter på portugisisk. PDF-en inneholder en ondsinnet nedlastningskobling behandlet via Goo.su, som fører til en ZIP-fil, som til slutt resulterer i MSI-filen "NotafiscalGFGJKHKHGUURTURTF345.msi."

Ved dekomprimering avslører MSI-installasjonsprogrammet flere TXT-filer, en legitim utførelsesfil og en ondsinnet DLL kalt "Lightshot.dll." Installasjonsprogrammet kjører filen "Lightshot.exe" ved hjelp av DLL-sidelastingsteknikker, noe som muliggjør diskret utførelse av den ondsinnede koden og uautoriserte aktiviteter som datatyveri.

Videre bruker skadelig programvare "GetVolumeInformationW"-prosessen for å samle filsystem- og voluminformasjon, genererer en loggfil og kjører "Lightshot.exe" ved brukerpålogging. Den sender HTTP-forespørsler, logger data og overvåker forgrunnsvinduet ved å bruke API-ene "GetForegroundWindow" og "GetWindowTextW."

Trojaneren kommuniserer med sin C2-server, og tilrettelegger for handlinger som å stjele legitimasjon, blokkere skjermer, logge tastetrykk og vise villedende popup-vinduer.

Spesielt overvåker skadevaren aktivt tilgang til finansielle portaler, inkludert Mercado Bitcoin, den største digitale valutabørsen i Brasil og Latin-Amerika, som omfatter både konvensjonelle og kryptovalutaplattformer og tradisjonelle banker.

Stjålet informasjon lastes opp til ulike baner ettersom skadelig programvare konfigurerer kontodetaljer og sender en POST-forespørsel, som fremhever sofistikeringen til moderne banktrojanere.