Los usuarios de Brasil son el objetivo de un nuevo troyano bancario conocido como CHAVCLOAK<\/strong> que se propaga a trav\u00e9s de correos electr\u00f3nicos de phishing que contienen archivos adjuntos en formato PDF.<\/p>\n “Este intrincado ataque implica que el PDF descargue un archivo ZIP y posteriormente utilice t\u00e9cnicas de carga lateral de DLL para ejecutar el malware final”, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dicho<\/a>.<\/p>\n La cadena de ataque implica el uso de se\u00f1uelos DocuSign con tem\u00e1tica de contrato para enga\u00f1ar a los usuarios para que abran archivos PDF que contienen un bot\u00f3n para leer y firmar los documentos.<\/p>\n En realidad, al hacer clic en el bot\u00f3n se recupera un archivo de instalaci\u00f3n desde un enlace remoto que se acorta utilizando el servicio de acortamiento de URL de Goo.su.<\/p>\n Dentro del instalador hay un ejecutable llamado “Lightshot.exe” que aprovecha la carga lateral de DLL para cargar “Lightshot.dll”, que es el malware CHAVECLOAK que facilita el robo de informaci\u00f3n confidencial.<\/p>\n Esto incluye recopilar metadatos del sistema y realizar comprobaciones para determinar si la m\u00e1quina comprometida est\u00e1 ubicada en Brasil y, de ser as\u00ed, monitorear peri\u00f3dicamente la ventana de primer plano para compararla con una lista predefinida de cadenas relacionadas con el banco.<\/p>\n Si coincide, se establece una conexi\u00f3n con un servidor de comando y control (C2) y se procede a recopilar diversos tipos de informaci\u00f3n y a filtrarlos a distintos puntos finales en el servidor, seg\u00fan la instituci\u00f3n financiera.<\/p>\n “El malware facilita varias acciones para robar las credenciales de la v\u00edctima, como permitir que el operador bloquee la pantalla de la v\u00edctima, registre las pulsaciones de teclas y muestre ventanas emergentes enga\u00f1osas”, dijo Lin.<\/p>\n “El malware monitorea activamente el acceso de la v\u00edctima a portales financieros espec\u00edficos, incluidos varios bancos y Mercado Bitcoin, que abarca tanto plataformas bancarias tradicionales como de criptomonedas”.<\/p>\n Fortinet dijo que tambi\u00e9n descubri\u00f3 una variante Delphi de CHAVECLOAK, destacando una vez m\u00e1s la prevalencia del malware basado en Delphi dirigido a Am\u00e9rica Latina.<\/p>\n “La aparici\u00f3n del troyano bancario CHAVECLOAK subraya el panorama cambiante de las ciberamenazas dirigidas al sector financiero, centr\u00e1ndose espec\u00edficamente en los usuarios de Brasil”, concluy\u00f3 Lin.<\/p>\n Los hallazgos se producen en medio de una campa\u00f1a de fraude en banca m\u00f3vil en curso contra el Reino Unido, Espa\u00f1a e Italia que implica el uso de t\u00e1cticas de smishing y vishing (es decir, SMS y phishing de voz) para implementar un malware para Android llamado Copybara con el objetivo de realizar transferencias bancarias no autorizadas a un red de cuentas bancarias operadas por mulas de dinero.<\/p>\n “TA [Threat actors] han sido descubiertos utilizando una forma estructurada de gestionar todas las campa\u00f1as de phishing en curso a trav\u00e9s de un panel web centralizado conocido como ‘Mr. Robot'”, Cleafy dicho<\/a> en un informe publicado la semana pasada.<\/p>\n “Con este panel, las AT pueden habilitar y gestionar m\u00faltiples campa\u00f1as de phishing (contra diferentes instituciones financieras) en funci\u00f3n de sus necesidades”.<\/p>\n El marco C2 tambi\u00e9n permite a los atacantes organizar ataques personalizados contra distintas instituciones financieras utilizando kits de phishing dise\u00f1ados para imitar la interfaz de usuario de la entidad objetivo, al mismo tiempo que adopta m\u00e9todos antidetecci\u00f3n a trav\u00e9s de geocercas y huellas digitales del dispositivo para limitar las conexiones solo desde dispositivos m\u00f3viles.<\/p>\n El kit de phishing, que sirve como una p\u00e1gina de inicio de sesi\u00f3n falsa, es responsable de capturar las credenciales y los n\u00fameros de tel\u00e9fono de los clientes de banca minorista y enviar los detalles a un grupo de Telegram.<\/p>\n Parte de la infraestructura maliciosa utilizada para la campa\u00f1a est\u00e1 dise\u00f1ada para entregar Copybara, que se administra mediante un panel C2 llamado JOKER RAT que muestra todos los dispositivos infectados y su distribuci\u00f3n geogr\u00e1fica en un mapa en vivo.<\/p>\n Tambi\u00e9n permite a los actores de amenazas interactuar de forma remota en tiempo real con un dispositivo infectado utilizando un m\u00f3dulo VNC, adem\u00e1s de inyectar superposiciones falsas en la parte superior de las aplicaciones bancarias para desviar credenciales, registrar pulsaciones de teclas abusando de los servicios de accesibilidad de Android e interceptar mensajes SMS.<\/p>\n Adem\u00e1s de eso, JOKER RAT viene con un generador de APK que permite personalizar el nombre de la aplicaci\u00f3n maliciosa, el nombre del paquete y los \u00edconos.<\/p>\n “Otra caracter\u00edstica disponible dentro del panel es la ‘Notificaci\u00f3n Push’, probablemente utilizada para enviar a los dispositivos infectados notificaciones push falsas que parecen una notificaci\u00f3n bancaria para incitar al usuario a abrir la aplicaci\u00f3n del banco de tal manera que el malware pueda robar credenciales. “, dijeron los investigadores de Cleafy, Francesco Iubatti y Federico Valentini.<\/p>\n La creciente sofisticaci\u00f3n de los esquemas de fraude en dispositivos (ODF) se evidencia a\u00fan m\u00e1s en una campa\u00f1a TeaBot (tambi\u00e9n conocida como Anatsa) recientemente revelada que logr\u00f3 infiltrarse en Google Play Store bajo la apariencia de aplicaciones de lectura de PDF.<\/p>\n “Esta aplicaci\u00f3n act\u00faa como un dropper, facilitando la descarga de un troyano bancario de la familia TeaBot a trav\u00e9s de m\u00faltiples etapas”, Iubatti dicho<\/a>. “Antes de descargar el troyano bancario, el dropper realiza t\u00e9cnicas avanzadas de evasi\u00f3n, incluyendo ofuscaci\u00f3n y eliminaci\u00f3n de archivos, adem\u00e1s de m\u00faltiples comprobaciones sobre los pa\u00edses v\u00edctimas”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/El-nuevo-troyano-bancario-CHAVECLOAK-se-dirige-a-usuarios-brasilenos.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n