Trojan bancário CHAVECLOAK tem como alvo o Brasil

O Trojan bancário CHAVECLOAK, uma nova ameaça cibernética, está espalhando sua infecção por meio de phishing por SMS (SMishing), e-mails de phishing e sites comprometidos.

O FortiGuard Labs, uma equipe de pesquisa em segurança cibernética, identificou um Trojan de alta gravidade chamado CHAVECLOAK que visa especificamente usuários de bancos brasileiros. Este malware foi projetado para dispositivos Windows e se infiltra em plataformas bancárias online, extraindo credenciais bancárias e dados financeiros.

Embora a investigação sobre o método de infecção CHAVECLOAK esteja em andamento, os pesquisadores suspeitam que os possíveis canais de distribuição incluem e-mails de phishing, phishing por SMS e sites comprometidos.

De acordo com uma postagem no blog da empresa, a campanha envolve e-mails maliciosos que se apresentam como comunicações bancárias legítimas, atraindo os usuários para o download de malware. Ele tem como alvo específico usuários com configurações de idioma português, utilizando técnicas como sideload de DLL e pop-ups enganosos. O Trojan monitora ativamente as interações dos usuários com os portais financeiros.

O carregamento lateral de DLL apresenta um risco de segurança significativo, pois permite que o malware explore processos legítimos sem levantar suspeitas.

Modo CHAVECLOAK de infiltração

O malware assume o controle dos dispositivos das vítimas e adquire informações financeiras confidenciais por meio de um arquivo PDF malicioso disfarçado de documentos contratuais em português. O PDF contém um link de download malicioso processado via Goo.su, levando a um arquivo ZIP, resultando no arquivo MSI “NotafiscalGFGJKHKHGUURTURTF345.msi”.

Após a descompactação, o instalador MSI revela vários arquivos TXT, um arquivo de execução legítimo e uma DLL maliciosa chamada “Lightshot.dll”. O instalador executa o arquivo “Lightshot.exe” usando técnicas de sideload de DLL, permitindo a execução discreta do código malicioso e atividades não autorizadas, como roubo de dados.

Além disso, o malware utiliza o processo "GetVolumeInformationW" para coletar informações do sistema de arquivos e do volume, gera um arquivo de log e executa "Lightshot.exe" após o login do usuário. Ele envia solicitações HTTP, registra dados e monitora a janela em primeiro plano usando as APIs “GetForegroundWindow” e “GetWindowTextW”.

O Trojan se comunica com seu servidor C2, facilitando ações como roubo de credenciais, bloqueio de telas, registro de pressionamentos de teclas e exibição de janelas pop-up enganosas.

Notavelmente, o malware monitora ativamente o acesso a portais financeiros, incluindo o Mercado Bitcoin, a maior casa de câmbio digital do Brasil e da América Latina, que abrange plataformas convencionais e de criptomoedas e bancos tradicionais.

As informações roubadas são enviadas para vários caminhos à medida que o malware configura os detalhes da conta e envia uma solicitação POST, destacando a sofisticação dos trojans bancários contemporâneos.