In Brasile, gli utenti sono diventati il bersaglio di un nuovo trojan bancario chiamato CHAVECLOAK, diffuso tramite email di phishing contenenti allegati PDF. Questo attacco complesso vede il PDF scaricare un file ZIP che utilizza tecniche di side-loading DLL per eseguire il malware finale. Fortinet FortiGuard Labs, che ha analizzato l’intrusione, evidenzia come l’attacco inizi con l’inganno degli utenti attraverso l’apertura di file PDF mascherati da documenti DocuSign, per poi procedere con il recupero di un file di installazione da un link remoto.
Modalità Operative di CHAVECLOAK
Il malware CHAVECLOAK mira a raccogliere metadati di sistema e a monitorare la finestra in primo piano per confrontarla con un elenco predefinito di stringhe legate a istituti bancari. In caso di corrispondenza, viene stabilita una connessione con un server di comando e controllo (C2) per raccogliere varie informazioni e trasmetterle a endpoint specifici sul server a seconda dell’istituto finanziario coinvolto.
Capacità di Furto di Credenziali
CHAVECLOAK è progettato per compiere varie azioni volte al furto delle credenziali della vittima, come bloccare lo schermo della vittima, registrare i tasti digitati e visualizzare finestre pop-up ingannevoli. Questo malware monitora attivamente l’accesso della vittima a specifici portali finanziari, incluse diverse banche e Mercado Bitcoin, coprendo sia il settore bancario tradizionale che le piattaforme di criptovaluta.
Distribuzione e Varianti
Fortinet ha inoltre scoperto una variante Delphi di CHAVECLOAK, evidenziando la prevalenza del malware basato su Delphi mirato all’America Latina. L’emergere del trojan bancario CHAVECLOAK sottolinea l’evoluzione continua delle minacce informatiche mirate al settore finanziario, con un focus particolare sugli utenti in Brasile.
La complessità crescente delle frodi bancarie online richiede un’attenzione costante e l’adozione di misure di sicurezza robuste da parte degli utenti e delle istituzioni finanziarie per proteggersi da queste minacce sofisticate.
