CHAVECLOAK Banking Trojan richt zich op Brazilië

CHAVECLOAK banking Trojan, een nieuwe cyberdreiging, verspreidt zijn infectie via sms-phishing (SMishing), phishing-e-mails en gecompromitteerde websites.

FortiGuard Labs, een cybersecurity-onderzoeksteam, heeft een zeer ernstige Trojan genaamd CHAVECLOAK geïdentificeerd die zich specifiek richt op gebruikers van Braziliaanse banken. Deze malware is ontworpen voor Windows-apparaten en infiltreert platforms voor online bankieren, waarbij bankgegevens en financiële gegevens worden geëxtraheerd.

Hoewel het onderzoek naar de CHAVECLOAK-infectiemethode nog gaande is, vermoeden onderzoekers dat potentiële distributiekanalen phishing-e-mails, sms-phishing en gecompromitteerde websites omvatten.

Volgens een blogpost van het bedrijf omvat de campagne kwaadaardige e-mails die zich voordoen als legitieme bankcommunicatie, waardoor gebruikers ertoe worden verleid malware te downloaden. Het richt zich specifiek op gebruikers met Portugese taalinstellingen, waarbij gebruik wordt gemaakt van technieken zoals DLL-sideloading en misleidende pop-ups. De Trojan houdt actief toezicht op de interacties van gebruikers met financiële portals.

DLL-sideloading brengt een aanzienlijk veiligheidsrisico met zich mee, omdat de malware hierdoor legitieme processen kan misbruiken zonder argwaan te wekken.

CHAVECLOAK Wijze van infiltratie

De malware neemt de controle over de apparaten van de slachtoffers over en verkrijgt gevoelige financiële informatie via een kwaadaardig pdf-bestand, vermomd als contractdocumenten in het Portugees. De pdf bevat een kwaadaardige downloaderlink die is verwerkt via Goo.su en die naar een ZIP-bestand leidt, wat uiteindelijk resulteert in het MSI-bestand "NotafiscalGFGJKHKHGUURTURTF345.msi."

Bij decompressie onthult het MSI-installatieprogramma meerdere TXT-bestanden, een legitiem uitvoeringsbestand en een kwaadaardige DLL met de naam "Lightshot.dll." Het installatieprogramma voert het bestand "Lightshot.exe" uit met behulp van DLL-sideloading-technieken, waardoor discrete uitvoering van de kwaadaardige code en ongeautoriseerde activiteiten zoals gegevensdiefstal mogelijk wordt.

Bovendien maakt de malware gebruik van het "GetVolumeInformationW"-proces om bestandssysteem- en volume-informatie te verzamelen, genereert het een logbestand en voert het "Lightshot.exe" uit wanneer de gebruiker inlogt. Het verzendt HTTP-verzoeken, registreert gegevens en bewaakt het voorgrondvenster met behulp van de API's "GetForegroundWindow" en "GetWindowTextW."

De Trojan communiceert met zijn C2-server en vergemakkelijkt acties zoals het stelen van inloggegevens, het blokkeren van schermen, het registreren van toetsaanslagen en het weergeven van misleidende pop-upvensters.

De malware monitort met name actief de toegang tot financiële portalen, waaronder Mercado Bitcoin, de grootste digitale valutawissel in Brazilië en Latijns-Amerika, die zowel conventionele als cryptocurrency-platforms en traditionele banken omvat.

Gestolen informatie wordt naar verschillende paden geüpload terwijl de malware accountgegevens configureert en een POST-verzoek verzendt, wat de verfijning van hedendaagse banktrojans benadrukt.