Банковский троян CHAVECLOAK нацелен на Бразилию

Банковский троян CHAVECLOAK, новая киберугроза, распространяет инфекцию через SMS-фишинг (SMishing), фишинговые электронные письма и взломанные веб-сайты.

Исследовательская группа FortiGuard Labs в области кибербезопасности обнаружила трояна высокой степени опасности под названием CHAVECLOAK, который специально нацелен на пользователей бразильских банков. Это вредоносное ПО разработано для устройств Windows и проникает на платформы онлайн-банкинга, извлекая банковские учетные данные и финансовые данные.

Хотя расследование метода заражения CHAVECLOAK продолжается, исследователи подозревают, что потенциальные каналы распространения включают в себя фишинговые электронные письма, фишинговые SMS-сообщения и взломанные веб-сайты.

Согласно сообщению в блоге компании, кампания включает в себя вредоносные электронные письма, выдаваемые за законные банковские сообщения, которые побуждают пользователей загружать вредоносное ПО. Он специально предназначен для пользователей с настройками португальского языка и использует такие методы, как загрузка неопубликованных DLL и вводящие в заблуждение всплывающие окна. Троянец активно отслеживает взаимодействие пользователей с финансовыми порталами.

Загрузка неопубликованных DLL представляет собой серьезную угрозу безопасности, поскольку позволяет вредоносному ПО использовать законные процессы, не вызывая подозрений.

CHAVECLOAK Режим проникновения

Вредоносное ПО берет под контроль устройства жертв и получает конфиденциальную финансовую информацию через вредоносный PDF-файл, замаскированный под контрактные документы на португальском языке. PDF-файл содержит вредоносную ссылку для загрузки, обработанную через Goo.su, ведущую к ZIP-файлу, в результате чего получается файл MSI «NotafiscalGFGJKHKHGUURTURTF345.msi».

После распаковки установщик MSI обнаруживает несколько файлов TXT, законный исполняемый файл и вредоносную DLL с именем «Lightshot.dll». Установщик запускает файл «Lightshot.exe», используя методы загрузки неопубликованных DLL, что позволяет незаметно выполнять вредоносный код и предотвращать несанкционированные действия, такие как кража данных.

Кроме того, вредоносная программа использует процесс GetVolumeInformationW для сбора информации о файловой системе и томе, создает файл журнала и запускает Lightshot.exe при входе пользователя в систему. Он отправляет HTTP-запросы, регистрирует данные и отслеживает окно переднего плана с помощью API «GetForegroundWindow» и «GetWindowTextW».

Троянец взаимодействует со своим сервером C2, выполняя такие действия, как кража учетных данных, блокировка экранов, регистрация нажатий клавиш и отображение обманных всплывающих окон.

Примечательно, что вредоносное ПО активно отслеживает доступ к финансовым порталам, включая Mercado Bitcoin, крупнейшую биржу цифровых валют в Бразилии и Латинской Америке, которая включает в себя как обычные, так и криптовалютные платформы, а также традиционные банки.

Украденная информация загружается по различным путям, поскольку вредоносное ПО настраивает данные учетной записи и отправляет запрос POST, что подчеркивает сложность современных банковских троянов.