Los usuarios de Brasil son el objetivo de un nuevo troyano bancario conocido como CHAVCLOAK que se propaga a través de correos electrónicos de phishing que contienen archivos adjuntos en formato PDF.
“Este intrincado ataque implica que el PDF descargue un archivo ZIP y posteriormente utilice técnicas de carga lateral de DLL para ejecutar el malware final”, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dicho.
La cadena de ataque implica el uso de señuelos DocuSign con temática de contrato para engañar a los usuarios para que abran archivos PDF que contienen un botón para leer y firmar los documentos.
En realidad, al hacer clic en el botón se recupera un archivo de instalación desde un enlace remoto que se acorta utilizando el servicio de acortamiento de URL de Goo.su.
Dentro del instalador hay un ejecutable llamado “Lightshot.exe” que aprovecha la carga lateral de DLL para cargar “Lightshot.dll”, que es el malware CHAVECLOAK que facilita el robo de información confidencial.
Esto incluye recopilar metadatos del sistema y realizar comprobaciones para determinar si la máquina comprometida está ubicada en Brasil y, de ser así, monitorear periódicamente la ventana de primer plano para compararla con una lista predefinida de cadenas relacionadas con el banco.
Si coincide, se establece una conexión con un servidor de comando y control (C2) y se procede a recopilar diversos tipos de información y a filtrarlos a distintos puntos finales en el servidor, según la institución financiera.
“El malware facilita varias acciones para robar las credenciales de la víctima, como permitir que el operador bloquee la pantalla de la víctima, registre las pulsaciones de teclas y muestre ventanas emergentes engañosas”, dijo Lin.
“El malware monitorea activamente el acceso de la víctima a portales financieros específicos, incluidos varios bancos y Mercado Bitcoin, que abarca tanto plataformas bancarias tradicionales como de criptomonedas”.
Fortinet dijo que también descubrió una variante Delphi de CHAVECLOAK, destacando una vez más la prevalencia del malware basado en Delphi dirigido a América Latina.
“La aparición del troyano bancario CHAVECLOAK subraya el panorama cambiante de las ciberamenazas dirigidas al sector financiero, centrándose específicamente en los usuarios de Brasil”, concluyó Lin.
Los hallazgos se producen en medio de una campaña de fraude en banca móvil en curso contra el Reino Unido, España e Italia que implica el uso de tácticas de smishing y vishing (es decir, SMS y phishing de voz) para implementar un malware para Android llamado Copybara con el objetivo de realizar transferencias bancarias no autorizadas a un red de cuentas bancarias operadas por mulas de dinero.
“TA [Threat actors] han sido descubiertos utilizando una forma estructurada de gestionar todas las campañas de phishing en curso a través de un panel web centralizado conocido como ‘Mr. Robot'”, Cleafy dicho en un informe publicado la semana pasada.
“Con este panel, las AT pueden habilitar y gestionar múltiples campañas de phishing (contra diferentes instituciones financieras) en función de sus necesidades”.
El marco C2 también permite a los atacantes organizar ataques personalizados contra distintas instituciones financieras utilizando kits de phishing diseñados para imitar la interfaz de usuario de la entidad objetivo, al mismo tiempo que adopta métodos antidetección a través de geocercas y huellas digitales del dispositivo para limitar las conexiones solo desde dispositivos móviles.
El kit de phishing, que sirve como una página de inicio de sesión falsa, es responsable de capturar las credenciales y los números de teléfono de los clientes de banca minorista y enviar los detalles a un grupo de Telegram.
Parte de la infraestructura maliciosa utilizada para la campaña está diseñada para entregar Copybara, que se administra mediante un panel C2 llamado JOKER RAT que muestra todos los dispositivos infectados y su distribución geográfica en un mapa en vivo.
También permite a los actores de amenazas interactuar de forma remota en tiempo real con un dispositivo infectado utilizando un módulo VNC, además de inyectar superposiciones falsas en la parte superior de las aplicaciones bancarias para desviar credenciales, registrar pulsaciones de teclas abusando de los servicios de accesibilidad de Android e interceptar mensajes SMS.
Además de eso, JOKER RAT viene con un generador de APK que permite personalizar el nombre de la aplicación maliciosa, el nombre del paquete y los íconos.
“Otra característica disponible dentro del panel es la ‘Notificación Push’, probablemente utilizada para enviar a los dispositivos infectados notificaciones push falsas que parecen una notificación bancaria para incitar al usuario a abrir la aplicación del banco de tal manera que el malware pueda robar credenciales. “, dijeron los investigadores de Cleafy, Francesco Iubatti y Federico Valentini.
La creciente sofisticación de los esquemas de fraude en dispositivos (ODF) se evidencia aún más en una campaña TeaBot (también conocida como Anatsa) recientemente revelada que logró infiltrarse en Google Play Store bajo la apariencia de aplicaciones de lectura de PDF.
“Esta aplicación actúa como un dropper, facilitando la descarga de un troyano bancario de la familia TeaBot a través de múltiples etapas”, Iubatti dicho. “Antes de descargar el troyano bancario, el dropper realiza técnicas avanzadas de evasión, incluyendo ofuscación y eliminación de archivos, además de múltiples comprobaciones sobre los países víctimas”.