CHAVECLOAK 银行木马瞄准巴西

CHAVECLOAK 银行木马是一种新的网络威胁，它通过短信网络钓鱼 (SMishing)、网络钓鱼电子邮件和受感染的网站传播其感染。

网络安全研究团队 FortiGuard Labs 发现了一种名为 CHAVECLOAK 的高严重性木马，专门针对巴西银行的用户。该恶意软件专为 Windows 设备设计，可渗透在线银行平台，提取银行凭证和财务数据。

尽管对 CHAVECLOAK 感染方法的调查仍在进行中，但研究人员怀疑潜在的传播渠道包括网络钓鱼电子邮件、短信网络钓鱼和受感染的网站。

根据该公司的一篇博客文章，该活动涉及冒充合法银行通信的恶意电子邮件，引诱用户下载恶意软件。它专门针对具有葡萄牙语设置的用户，利用 DLL 侧面加载和欺骗性弹出窗口等技术。该木马主动监控用户与金融门户的交互。

DLL 旁加载带来了重大的安全风险，因为它允许恶意软件利用合法进程而不引起怀疑。

CHAVECLOAK 渗透模式

该恶意软件控制受害者的设备，并通过伪装成葡萄牙语合同文档的恶意 PDF 文件获取敏感的财务信息。该 PDF 包含通过 Goo.su 处理的恶意下载器链接，该链接会生成 ZIP 文件，最终生成 MSI 文件“NotafiscalGFGJKHKHGUURTURTF345.msi”。

解压后，MSI 安装程序会显示多个 TXT 文件、一个合法的执行文件和一个名为“Lightshot.dll”的恶意 DLL。安装程序使用 DLL 侧面加载技术执行文件“Lightshot.exe”，从而能够谨慎执行恶意代码和数据盗窃等未经授权的活动。

此外，该恶意软件利用“GetVolumeInformationW”进程收集文件系统和卷信息，生成日志文件，并在用户登录时执行“Lightshot.exe”。它使用 API“GetForegroundWindow”和“GetWindowTextW”发送 HTTP 请求、记录数据并监视前台窗口。

该特洛伊木马与其 C2 服务器通信，促进窃取凭据、阻止屏幕、记录击键和显示欺骗性弹出窗口等操作。

值得注意的是，该恶意软件主动监控对金融门户的访问，包括巴西和拉丁美洲最大的数字货币交易所 Mercado Bitcoin，其中包括传统和加密货币平台以及传统银行。

当恶意软件配置帐户详细信息并发送 POST 请求时，被盗信息会上传到各种路径，这凸显了当代银行木马的复杂性。