Trojan bankowy CHAVECLOAK atakuje Brazylię

Trojan bankowy CHAVECLOAK, nowe zagrożenie cybernetyczne, rozprzestrzenia swoją infekcję poprzez phishing SMS (SMishing), wiadomości phishingowe i zainfekowane strony internetowe.

Zespół badawczy FortiGuard Labs zajmujący się cyberbezpieczeństwem zidentyfikował trojana o wysokiej wadze zagrożenia o nazwie CHAVECLOAK, którego celem są użytkownicy brazylijskich banków. Szkodnik ten jest przeznaczony dla urządzeń z systemem Windows i infiltruje platformy bankowości internetowej, wydobywając dane uwierzytelniające bankowe i dane finansowe.

Chociaż badanie metody infekcji metodą CHAVECLOAK jest w toku, badacze podejrzewają, że potencjalne kanały dystrybucji obejmują wiadomości phishingowe, wiadomości SMS i zainfekowane strony internetowe.

Jak wynika z wpisu na blogu firmy, kampania obejmuje złośliwe e-maile udające legalną komunikację bankową i wabiące użytkowników do pobrania złośliwego oprogramowania. Jest szczególnie skierowany do użytkowników z ustawieniami języka portugalskiego i wykorzystuje techniki takie jak boczne ładowanie bibliotek DLL i zwodnicze wyskakujące okienka. Trojan aktywnie monitoruje interakcje użytkowników z portalami finansowymi.

Sideloading bibliotek DLL stwarza poważne ryzyko bezpieczeństwa, ponieważ umożliwia złośliwemu oprogramowaniu wykorzystanie legalnych procesów bez wzbudzania podejrzeń.

CHAVECLOAK Tryb infiltracji

Szkodnik przejmuje kontrolę nad urządzeniami ofiar i pozyskuje wrażliwe informacje finansowe poprzez złośliwy plik PDF podszywający się pod dokumenty kontraktowe w języku portugalskim. Plik PDF zawiera złośliwy link do pobierania przetworzony przez Goo.su, prowadzący do pliku ZIP, w wyniku którego ostatecznie powstaje plik MSI „NotafiscalGFGJKHKHGUURTURTF345.msi”.

Po dekompresji instalator MSI ujawnia wiele plików TXT, prawidłowy plik wykonawczy i złośliwą bibliotekę DLL o nazwie „Lightshot.dll”. Instalator uruchamia plik „Lightshot.exe” przy użyciu technik sideloadingu DLL, umożliwiając dyskretne wykonanie złośliwego kodu i nieautoryzowane działania, takie jak kradzież danych.

Ponadto złośliwe oprogramowanie wykorzystuje proces „GetVolumeInformationW” do zbierania informacji o systemie plików i woluminie, generuje plik dziennika i uruchamia „Lightshot.exe” po zalogowaniu użytkownika. Wysyła żądania HTTP, rejestruje dane i monitoruje okno na pierwszym planie za pomocą interfejsów API „GetForegroundWindow” i „GetWindowTextW”.

Trojan komunikuje się ze swoim serwerem C2, ułatwiając takie działania, jak kradzież danych uwierzytelniających, blokowanie ekranów, rejestrowanie naciśnięć klawiszy i wyświetlanie zwodniczych wyskakujących okienek.

Warto zauważyć, że szkodliwe oprogramowanie aktywnie monitoruje dostęp do portali finansowych, w tym Mercado Bitcoin, największej cyfrowej wymiany walut w Brazylii i Ameryce Łacińskiej, która obejmuje zarówno platformy konwencjonalne i kryptowalutowe, jak i tradycyjne banki.

Skradzione informacje są przesyłane różnymi ścieżkami, gdy szkodliwe oprogramowanie konfiguruje szczegóły konta i wysyła żądanie POST, co podkreśla wyrafinowanie współczesnych trojanów bankowych.