CHAVECLOAK Banking Trojan riktar sig mot Brasilien

CHAVECLOAK banking Trojan, ett nytt cyberhot, sprider sin infektion genom SMS-nätfiske (SMishing), nätfiske-e-postmeddelanden och komprometterade webbplatser.

FortiGuard Labs, ett forskningsteam för cybersäkerhet, har identifierat en trojan med hög stränghet som heter CHAVECLOAK som specifikt riktar sig till användare av brasilianska banker. Denna skadliga programvara är designad för Windows-enheter och infiltrerar onlinebankplattformar, extraherar bankuppgifter och finansiell data.

Även om utredningen av CHAVECLOAK-infektionsmetoden pågår, misstänker forskare att potentiella distributionskanaler inkluderar nätfiske-e-postmeddelanden, sms-nätfiske och komprometterade webbplatser.

Enligt ett blogginlägg från företaget involverar kampanjen skadliga e-postmeddelanden som poserar som legitim bankkommunikation, vilket lockar användare att ladda ner skadlig programvara. Den riktar sig specifikt till användare med portugisiska språkinställningar och använder tekniker som DLL-sidladdning och vilseledande popup-fönster. Trojanen övervakar aktivt användarnas interaktioner med finansiella portaler.

DLL-sidladdning utgör en betydande säkerhetsrisk eftersom den tillåter skadlig programvara att utnyttja legitima processer utan att väcka misstankar.

CHAVECLOAK Infiltrationssätt

Skadlig programvara tar kontroll över offrens enheter och skaffar känslig finansiell information genom en skadlig PDF-fil förklädd som kontraktsdokument på portugisiska. PDF-filen innehåller en skadlig nedladdningslänk som bearbetas via Goo.su, vilket leder till en ZIP-fil, som slutligen resulterar i MSI-filen "NotafiscalGFGJKHKHGUURTURTF345.msi."

Vid dekomprimering avslöjar MSI-installationsprogrammet flera TXT-filer, en legitim körningsfil och en skadlig DLL som heter "Lightshot.dll." Installationsprogrammet kör filen "Lightshot.exe" med DLL-sidladdningstekniker, vilket möjliggör diskret exekvering av den skadliga koden och obehöriga aktiviteter som datastöld.

Dessutom använder skadlig programvara "GetVolumeInformationW"-processen för att samla in filsystem och volyminformation, genererar en loggfil och kör "Lightshot.exe" vid användarinloggning. Den skickar HTTP-förfrågningar, loggar data och övervakar förgrundsfönstret med hjälp av API:erna "GetForegroundWindow" och "GetWindowTextW."

Trojanen kommunicerar med sin C2-server, vilket underlättar åtgärder som att stjäla referenser, blockera skärmar, logga tangenttryckningar och visa vilseledande popup-fönster.

Det skadliga programmet övervakar aktivt tillgången till finansiella portaler, inklusive Mercado Bitcoin, den största digitala valutabörsen i Brasilien och Latinamerika, som omfattar både konventionella och kryptovalutaplattformar och traditionella banker.

Stulen information laddas upp till olika vägar när skadlig programvara konfigurerar kontouppgifter och skickar en POST-begäran, vilket framhäver det sofistikerade hos samtida banktrojaner.