Os usuários no Brasil são alvo de um novo trojan bancário conhecido como CHAVECLOAK, que se propaga através de e-mails de phishing com anexos em PDF.
"Esse ataque complexo envolve o PDF baixando um arquivo ZIP e, em seguida, utilizando técnicas de DLL side-loading para executar o malware final", disse a pesquisadora Cara Lin, da Fortinet FortiGuard Labs.
A cadeia de ataque envolve o uso de iscas de DocuSign baseadas em contrato para enganar os usuários a abrir arquivos PDF contendo um botão para ler e assinar os documentos.
Na realidade, ao clicar no botão leva à recuperação de um arquivo instalador de um link remoto que é encurtado usando o serviço de encurtamento de URL Goo.su.
Presente no instalador está um executável chamado "Lightshot.exe" que utiliza DLL side-loading para carregar "Lightshot.dll", que é o malware CHAVECLOAK que facilita o roubo de informações sensíveis.
Isso inclui coletar metadados do sistema e executar verificações para determinar se a máquina comprometida está localizada no Brasil e, se sim, monitorar periodicamente a janela em primeiro plano para compará-la com uma lista predefinida de strings relacionadas a bancos.
Se corresponder, uma conexão é estabelecida com um servidor de comando e controle (C2) e prossegue para colher várias informações e exfiltrá-las para distintos endpoints no servidor, dependendo da instituição financeira.
"O malware facilita várias ações para roubar as credenciais de uma vítima, como permitir que o operador bloqueie a tela da vítima, registre as teclas digitadas e exiba janelas pop-up enganosas", disse Lin.
"O malware monitora ativamente o acesso da vítima a portais financeiros específicos, incluindo vários bancos e Mercado Bitcoin, que abrange plataformas bancárias tradicionais e de criptomoedas."
A Fortinet disse que também descobriu uma variante Delphi do CHAVECLOAK, destacando mais uma vez a prevalência de malware baseado em Delphi mirando a América Latina.
"A emergência do trojan bancário CHAVECLOAK destaca a paisagem em constante evolução de ameaças cibernéticas visando o setor financeiro, focando especificamente nos usuários no Brasil", concluiu Lin.
As descobertas ocorrem em meio a uma campanha de fraude bancária móvel em andamento contra o Reino Unido, Espanha e Itália que envolve o uso de táticas de smishing e vishing (ou seja, phishing por SMS e voz) para implantar um malware Android chamado Copybara com o objetivo de realizar transferências bancárias não autorizadas para uma rede de contas bancárias operadas por mulas de dinheiro.
"Os atores de ameaças [TAs] foram pegos usando uma forma estruturada de gerenciar todas as campanhas de phishing em andamento por meio de um painel da web centralizado conhecido como 'Mr. Robot'", disse a Cleafy em um relatório publicado na semana passada.
"Com este painel, os TAs podem habilitar e gerenciar várias campanhas de phishing (contra diferentes instituições financeiras) de acordo com suas necessidades."
O estrutura C2 também permite que os atacantes orquestrem ataques personalizados em distintas instituições financeiras usando kits de phishing que são planejados para imitar a interface do usuário da entidade alvo, adotando também métodos anti-detecção via geofencing e identificação de dispositivo para limitar conexões apenas de dispositivos móveis.
O kit de phishing - que serve como uma falsa página de login - é responsável por capturar credenciais e números de telefone de clientes de bancos de varejo e enviar os detalhes para um grupo Telegram.
Alguma da infraestrutura maliciosa usada para a campanha é projetada para entregar Copybara, que é gerenciada usando um painel C2 chamado JOKER RAT que exibe todos os dispositivos infectados e sua distribuição geográfica sobre um mapa ao vivo.
Ele também permite que os atores de ameaças interajam remotamente em tempo real com um dispositivo infectado usando um módulo VNC, além de injetar falsos sobreposições em cima de aplicativos bancários para sugar credenciais, registrar teclas digitadas abusando dos serviços de acessibilidade do Android, e interceptando mensagens SMS.
Além disso, JOKER RAT vem com um construtor APK que torna possível personalizar o nome do aplicativo, o nome do pacote, e os ícones.
"Outro recurso disponível dentro do painel é a 'Notificação Push', provavelmente usado para enviar aos dispositivos infectados falsas notificações push que parecem uma notificação bancária para encorajar o usuário a abrir o aplicativo do banco de tal maneira que o malware possa roubar as credenciais", disseram os pesquisadores da Cleafy, Francesco Iubatti e Federico Valentini.
A sofisticação crescente dos esquemas de fraude em dispositivo (ODF) é ainda mais evidenciada por uma campanha recentemente revelada do TeaBot (também conhecido como Anatsa) que conseguiu se infiltrar na Google Play Store sob o disfarce de aplicativos de leitor de PDF.
"Este aplicativo serve como um distribuidor, facilitando o download de um trojan bancário da família TeaBot através de vários estágios", disse Iubatti.
"Antes de baixar o trojan bancário, o distribuidor realiza técnicas avançadas de evasão, incluindo ofuscação e exclusão de arquivos, ao lado de várias verificações sobre os países vítimas."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...