CHAVECLOAK 銀行木馬瞄準巴西

CHAVECLOAK 銀行木馬是一種新的網路威脅，它透過簡訊網路釣魚 (SMishing)、網路釣魚電子郵件和受感染的網站傳播其感染。

網路安全研究團隊 FortiGuard Labs 發現了一種名為 CHAVECLOAK 的高嚴重性木馬，專門針對巴西銀行的用戶。該惡意軟體專為 Windows 裝置設計，可滲透線上銀行平台，提取銀行憑證和財務資料。

儘管對 CHAVECLOAK 感染方法的調查仍在進行中，但研究人員懷疑潛在的傳播管道包括網路釣魚電子郵件、簡訊網路釣魚和受感染的網站。

根據該公司的一篇部落格文章，該活動涉及冒充合法銀行通訊的惡意電子郵件，引誘用戶下載惡意軟體。它專門針對具有葡萄牙語設定的用戶，利用 DLL 側面加載和欺騙性彈出視窗等技術。該木馬主動監控用戶與金融門戶的互動。

DLL 旁加載帶來了重大的安全風險，因為它允許惡意軟體利用合法進程而不引起懷疑。

CHAVECLOAK 滲透模式

該惡意軟體控制受害者的設備，並透過偽裝成葡萄牙語合約文件的惡意 PDF 文件來獲取敏感的財務資訊。該 PDF 包含透過 Goo.su 處理的惡意下載器鏈接，該鏈接會產生 ZIP 文件，最終生成 MSI 文件“NotafiscalGFGJKHKHGUURTURTF345.msi”。

解壓縮後，MSI 安裝程式會顯示多個 TXT 檔案、一個合法的執行檔和一個名為「Lightshot.dll」的惡意 DLL。安裝程式使用 DLL 側面載入技術執行檔案“Lightshot.exe”，從而能夠謹慎執行惡意程式碼和資料竊取等未經授權的活動。

此外，該惡意軟體利用「GetVolumeInformationW」進程收集檔案系統和磁碟區信息，產生日誌文件，並在使用者登入時執行「Lightshot.exe」。它使用 API“GetForegroundWindow”和“GetWindowTextW”發送 HTTP 請求、記錄資料並監視前台視窗。

該特洛伊木馬與其 C2 伺服器通信，促進竊取憑證、阻止螢幕、記錄擊鍵和顯示欺騙性彈出視窗等操作。

值得注意的是，該惡意軟體主動監控對金融門戶的訪問，包括巴西和拉丁美洲最大的數位貨幣交易所 Mercado Bitcoin，其中包括傳統和加密貨幣平台以及傳統銀行。

當惡意軟體配置帳戶詳細資訊並發送 POST 請求時，被盜資訊會上傳到各種路徑，這凸顯了當代銀行木馬的複雜性。