CHAVECLOAK: подписание договора может обернуться для бразильцев потерей денег

Специалисты FortiGuard Labs обнаружили новую угрозу для финансового сектора Южной Америки. Новое вредоносное ПО CHAVECLOAK нацелено на кражу банковских учетных данных у жителей Бразилии.

Троян распространяется через зараженный PDF-файл, который маскируется под договор. Жертву привлекают открыть файл для прочтения и подписания документов, однако на самом деле это ведет к загрузке вредоносного ПО. При открытии PDF-файла загружается ZIP-архив. Далее извлекается MSI-файл, содержащий множество текстовых файлов для различных языков, легитимный исполняемый файл и вредоносную DLL-библиотеку, которая загружается методом DLL Sideloading.

Цепочка заражения CHAVECLOAK

Троян CHAVECLOAK, замаскированный под «Lightshot.dll», начинает свою работу со сбора информации о системе, устанавливает себя в автозагрузку и отправляет запросы на сервер управления и контроля (Command and Control, C2). Если жертва находится в Бразилии, программа активирует мониторинг активного окна и при обнаружении окна банковской системы или криптовалютной платформы начинает собирать логины и пароли. В частности, троян пытается выявить подключения к Mercado Bitcoin — крупной криптобирже с функциями традиционного банкинга.

CHAVECLOAK также включает в себя возможность блокировки экрана жертвы, регистрацию нажатий клавиш (кейлоггинг) и отображение поддельных всплывающих окон. Украденные данные передаются на C2-сервер, откуда злоумышленники могут использовать их для дальнейших атак.

Зафиксирована также старая версия CHAVECLOAK, которая отличается способом распространения и действиями после заражения. «Устаревшая» версия содержит исполняемый файл Delphi, внедряющий окончательную нагрузку, и использует команды PowerShell для обхода защиты Windows Defender.

Появление трояна CHAVECLOAK подчеркивает рост уровня угроз в финансовом секторе, особенно среди пользователей в Бразилии. Такие трояны, как CHAVECLOAK, требуют постоянного внимания и проактивных мер безопасности для защиты от эволюционирующих угроз в финансовой сфере Южной Америки.

Кроме CHAVECLOAK, в Бразилии ранее были зафиксированы и другие киберпреступные кампании. Например, в начале февраля специалисты Лаборатории Касперского обнаружили банковский троян Coyote, нацеленный на пользователей более 60 банковских учреждений, преимущественно из Бразилии. Отличительной чертой данного вредоносного ПО является сложная цепочка заражения, которая использует различные передовые технологии, выделяя Coyote среди прочих банковских троянов.

Кроме того, в январе была пресечена деятельность ботнета Grandoreiro, в результате которой жертвы пострадали на сумму $3,9 млн. Большинство жертв использовали Windows, а наибольшее количество атак приходилось на Бразилию, Мексику и Испанию.