[BRASIL] Usuarios están siendo víctimas de nuevo troyano bancario llamado CHAVECLOAK, el cual se está propagando a través de correos electrónicos de phishing.

Cara Lin (Fortinet FortiGuard Labs):

El malware permite diversas acciones para robar las credenciales de las víctimas, tales como bloquear la pantalla de la víctima, registrar las pulsaciones de teclas y mostrar ventanas emergentes engañosas. Este sofisticado ataque involucra la descarga de un archivo ZIP a través del PDF, seguido por la utilización de técnicas de carga lateral de DLL para ejecutar el malware final.

El método utilizado en el ataque implica el empleo de señuelos de DocuSign que simulan contratos legítimos para engañar a los usuarios, llevándolos a abrir archivos PDF que aparentan contener un botón para revisar y firmar documentos. Sin embargo, al interactuar con este botón, se descarga un archivo de instalación desde un enlace remoto acortado.

Dentro de este instalador se encuentra un ejecutable llamado «Lightshot.exe» que aprovecha la carga lateral de DLL para cargar «Lightshot.dll» (CHAVECLOAK).

El troyano recopila metadatos del sistema y verifica la ubicación geográfica de la máquina comprometida. Si se encuentra en Brasil, el malware monitorea activamente la ventana en primer plano en busca de coincidencias con una lista predefinida de cadenas relacionadas con instituciones bancarias (abarcando tanto la banca tradicional como las plataformas de criptomonedas).

Cuando se detecta una coincidencia, se establece una conexión con un servidor de comando y control (C2), a través del cual se recopila una variedad de información y se filtra hacia diversos destinos, dependiendo de la institución financiera en cuestión.

Estos descubrimientos se dan en medio de una campaña de fraude bancario móvil dirigida al Reino Unido, España e Italia, que utiliza tácticas de smishing y vishing para instalar Copybara Malware en dispositivos Android. Con el objetivo de realizar transferencias bancarias no autorizadas a una red de cuentas operadas por mulas de dinero.

Fuente:

New Banking Trojan CHAVECLOAK Targets Brazilian Users via Phishing Tactics