Skip links

Novo Trojan bancário “CHAVECLOAK” tem como alvo o Brasil

O FortiGuard Labs descobriu recentemente um agente de ameaça que emprega um arquivo PDF malicioso para propagar o Trojan bancário CHAVECLOAK. Esse ataque intrincado envolve o download de um arquivo ZIP em PDF e, posteriormente, a utilização de técnicas de carregamento lateral de DLL para executar o malware final. Notavelmente, o CHAVECLOAK foi projetado especificamente para atingir usuários no Brasil, com o objetivo de roubar informações confidenciais vinculadas a atividades financeiras.

A Figura 1 mostra o fluxo detalhado desta ameaça cibernética.

Figura 1: Fluxo de ataque
Figura 1: Fluxo de ataque

No cenário de ameaças cibernéticas da América do Sul, os trojans bancários empregam uma série de táticas, como e-mails de phishing, anexos maliciosos e manipulação de navegadores. Exemplos notáveis ​​incluem Casbaneiro (Metamorfo/Ponteiro), Guildma, Mekotio e Grandoreiro. Esses trojans são especializados na obtenção ilícita de credenciais bancárias on-line e dados pessoais, representando uma ameaça significativa para usuários em países como Brasil e México. A telemetria do servidor de Comando e Controle (C2) do CHAVECLOAK é mostrada na Figura 2. Neste blog, iremos detalhar os detalhes do malware.

Figura 2: Telemetria
Figura 2: Telemetria

PDF vetorial inicial

O PDF, mostrado na Figura 3, contém documentos relativos a um contrato, com instruções escritas em português. Ele atrai suas vítimas a clicar em um botão para que possam ler e assinar os documentos anexados. No entanto, um link de download malicioso é discretamente incorporado ao objeto de fluxo, conforme mostrado na Figura 4, que revela o URL decodificado. Este URL é processado por meio do serviço gratuito de encurtamento de link “Goo.su”, levando a um redirecionamento em hxxps://webattach.mail.yandex.net/message_part_real/NotaFiscalEsdeletronicasufactrub66667kujhdfdjrWEWGFG09t5H6854JHGJUUR[.]zip para baixar o arquivo ZIP. Após a descompactação, o arquivo gera o arquivo MSI “NotafiscalGFGJKHKHGUURTURTF345.msi”.

Figura 3: O arquivo PDF malicioso
Figura 3: O arquivo PDF malicioso

Figura 4: O URL incorporado
Figura 4: O URL incorporado

Instalador MSI

Após a descompactação do instalador MSI, descobrimos vários arquivos TXT relacionados a configurações de diferentes idiomas, um arquivo de execução legítimo e uma DLL maliciosa chamada “Lightshot.dll”. Notavelmente, a data de modificação deste arquivo DLL é mais recente do que a de todos os outros arquivos do instalador, enfatizando ainda mais sua natureza incomum.

Figura 5: O arquivo MSI descompactado

Figura 5: O arquivo MSI descompactado

 

O exame do instalador MSI revela toda a sua configuração, que está escrita em português. Ele executa o arquivo “Lightshot.exe”, extraindo e depositando os arquivos em “%AppData%\Skillbrains\lightshot\5.5.0.7”, conforme mostrado na Figura 6.

O arquivo “Lightshot.exe” então implanta técnicas de sideload de DLL para ativar a execução da DLL maliciosa, “Lightshot.dll”. Essa técnica permite que o executável legítimo carregue e execute o código malicioso discretamente, facilitando atividades não autorizadas, como roubo de dados. As ações conduzidas por “Lightshot.dll” envolvem operações secretas e prejudiciais, incluindo a aquisição não autorizada de informações confidenciais. O carregamento lateral de DLL representa uma ameaça significativa à segurança, permitindo que o malware explore processos legítimos para fins nefastos sem detecção.

Figura 6: O “ActionText” no arquivo MSI e a pasta extraída
Figura 6: O “ActionText” no arquivo MSI e a pasta extraída
Figura 7: Carregar DLL maliciosa “Lightshot.dll”
Figura 7: Carregar DLL maliciosa “Lightshot.dll”

Trojan bancário CHAVECLOAK “Lightshot.dll”

Inicialmente, o processo invoca “GetVolumeInformationW” para coletar detalhes sobre o sistema de arquivos e o volume associado relacionado ao diretório raiz especificado. Ele utiliza o valor HEX obtido para gerar um arquivo de log em “%AppData%[HEX ID]lIG.log”. Em seguida, ele adiciona um valor de registro chamado “Lightshot” a “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”, garantindo a execução automática do programa “Lightshot.exe” no login do usuário. Assim que o registro e a persistência forem concluídos, ele envia uma solicitação HTTP para hxxp://64[.]225[.]32[.]24/shn/inspecionando.php. Se a geoverificação confirmar que a vítima está no Brasil, ela registra os dados no servidor, acessível através do caminho “clients.php”, conforme mostrado na Figura 8.

Figura 8: A lista de vítimas do check-in

Figura 8: A lista de vítimas do check-in

Em seguida, ele monitora periodicamente a janela em primeiro plano usando as APIs “GetForegroundWindow” e “GetWindowTextW”. Ao identificar uma janela e confirmar seu nome em uma lista predefinida de strings relacionadas ao banco, o malware estabelece comunicação com seu servidor de Comando e Controle (C&C).

O malware facilita várias ações para roubar as credenciais da vítima, como permitir que o operador bloqueie a tela da vítima, registre as teclas digitadas e exiba janelas pop-up enganosas, conforme mostrado na Figura 10. O malware monitora ativamente o acesso da vítima a portais financeiros específicos , incluindo vários bancos e o Mercado Bitcoin, que abrange plataformas bancárias tradicionais e de criptomoedas.

Figura 9: Compare o texto da janela e a string de destino

Figura 9: Compare o texto da janela e a string de destino

Figura 10: As janelas pop-up enganosas
Figura 10: As janelas pop-up enganosas
Após obter os dados de login inseridos pelo usuário, o malware inicia a comunicação com seu servidor de Comando e Controle (C2) em hxxp://comunidadebet20102[.]hopto[.]org. Dependendo do banco associado aos dados roubados, ele carrega as informações em caminhos distintos: “04/M/” para Mercado Bitcoin.
Figura 11: O código assembly que carrega dados roubados
Figura 11: O código assembly que carrega dados roubados

Em seguida, transmite uma solicitação POST contendo detalhes essenciais do sistema e configura as informações da conta dentro do parâmetro “InfoDados”, conforme visto na Figura 12.

Figura 12: A solicitação HTTP POST para dados roubados

Figura 12: A solicitação HTTP POST para dados roubados

Variante mais antiga

Além disso, adquirimos uma variante mais antiga do CHAVECLOAK no site de check-in. Seu processo difere do anterior, pois o arquivo ZIP contém um arquivo executável Delphi incorporando a carga final na seção RCData.

Figura 13: A carga útil no TFORM1

Figura 13: A carga útil no TFORM1

Ele começa recuperando informações do sistema para estabelecer uma nova pasta e armazena a carga em “C:\Arquivos de Programas (x86)\Editor-GH-[HEX ID]\Editor-[HEX ID].exe”. Simultaneamente, ele cria um arquivo de log, estabelece persistência e utiliza o comando do PowerShell “Add-MpPreference –ExclusionPath” para excluir o caminho “Editor-GH-[HEX ID]” das verificações do Windows Defender. Posteriormente, envia uma solicitação de check-in para hxxp://64[.]225[.]32[.]24/desktop/inspecionando.php. Notavelmente, esta variante parece ser uma versão anterior, indicada pela data de check-in das vítimas a partir de 2023.

Figura 14: Adicionar registro

Figura 14: Adicionar registro

Figura 15: A lista de usuários de check-in

Figura 15: A lista de usuários de check-in

Ele também observa ativamente o comportamento do usuário, captura o texto da janela frontal e coleta informações de identificação pessoal de páginas bancárias específicas e de login do Bitcoin, incluindo nomes, senhas e pressionamentos de teclas. Em seguida, ele transmite os dados roubados para o servidor de Comando e Controle (C2) em hxxp://mariashow[.]ddns[.]net/dtp/cnx.php.

Figura 16: Os dados HTTP para envio de informações da conta

Figura 16: Os dados HTTP para envio de informações da conta

Conclusão

O surgimento do Trojan bancário CHAVECLOAK ressalta o cenário em evolução das ameaças cibernéticas direcionadas ao setor financeiro, com foco específico nos usuários no Brasil. Utilizando técnicas sofisticadas, incluindo PDFs maliciosos, downloads de arquivos ZIP, sideload de DLL e pop-ups enganosos, ele se junta a um grupo de trojans bancários proeminentes que visam principalmente a América do Sul. CHAVECLOAK utiliza configurações de língua portuguesa, indicando uma abordagem estratégica para a região, e monitora ativamente as interações das vítimas com portais financeiros. CHAVECLOAK exemplifica a sofisticação dos trojans bancários contemporâneos, necessitando de vigilância contínua e medidas proativas de segurança cibernética para proteção contra ameaças em evolução no cenário financeiro da América do Sul.


Fonte: https://www.fortinet.com/

Instagram:https://www.instagram.com/security.first1st/#

LinkedIn:https://www.linkedin.com/company/securityfirst/

This website uses cookies to improve your web experience.
pt_BRPortuguese