wmtech logo

Nuevo troyano bancario CHAVECLOAK apunta a usuarios brasileños mediante tácticas de phishing

Luis Quiles
Luis Quiles
trojan
Ataque Phishing, Seguridad Movil

Los usuarios en Brasil son el objetivo de un nuevo troyano bancario conocido como CHAVECLOAK que se propaga a través de correos electrónicos de phishing que llevan adjuntos archivos PDF.

«Este ataque complejo implica que el PDF descargue un archivo ZIP y posteriormente utilice técnicas de carga lateral de DLL para ejecutar el malware final», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs.

La cadena de ataque implica el uso de señuelos de DocuSign temáticos de contratos para engañar a los usuarios y hacer que abran archivos PDF que contienen un botón para leer y firmar los documentos.

En realidad, al hacer clic en el botón se descarga un archivo instalador desde un enlace remoto que se acorta utilizando el servicio de acortamiento de URL Goo.su.

Presente dentro del instalador hay un ejecutable llamado «Lightshot.exe» que aprovecha la carga lateral de DLL para cargar «Lightshot.dll», que es el malware CHAVECLOAK que facilita el robo de información sensible.

Esto incluye la recopilación de metadatos del sistema y la realización de comprobaciones para determinar si la máquina comprometida se encuentra en Brasil y, en caso afirmativo, monitorear periódicamente la ventana activa para compararla con una lista predefinida de cadenas relacionadas con bancos.

Si coincide, se establece una conexión con un servidor de comando y control (C2) y procede a recolectar varios tipos de información y exfiltrarlos a distintos puntos finales en el servidor, dependiendo de la institución financiera.

«El malware facilita diversas acciones para robar las credenciales de una víctima, como permitir al operador bloquear la pantalla de la víctima, registrar pulsaciones de teclas y mostrar ventanas emergentes engañosas», dijo Lin.

«El malware monitorea activamente el acceso del usuario a portales financieros específicos, incluidos varios bancos y Mercado Bitcoin, que abarca tanto plataformas bancarias tradicionales como de criptomonedas».

Fortinet también dijo que descubrió una variante de CHAVECLOAK en Delphi, destacando una vez más la prevalencia de malware basado en Delphi dirigido a América Latina.

fig01 chavecloak attack flow

«El surgimiento del troyano bancario CHAVECLOAK subraya el paisaje en evolución de las ciberamenazas dirigidas al sector financiero, enfocándose específicamente en los usuarios de Brasil», concluyó Lin.

Estos hallazgos surgen en medio de una campaña continua de fraude bancario móvil contra el Reino Unido, España e Italia que implica el uso de tácticas de smishing y vishing (es decir, phishing de SMS y voz) para desplegar un malware para Android llamado Copybara con el objetivo de realizar transferencias bancarias no autorizadas a una red de cuentas bancarias operadas por mulas de dinero.

«Los actores de amenazas han sido capturados utilizando una forma estructurada de gestionar todas las campañas de phishing en curso a través de un panel web centralizado conocido como ‘Mr. Robot'», dijo Cleafy en un informe publicado la semana pasada.

65e1d52abbed481aa3f9cd63 f14

«Con este panel, los actores de amenazas pueden habilitar y gestionar múltiples campañas de phishing (contra diferentes instituciones financieras) según sus necesidades».

El marco C2 también permite a los atacantes orquestar ataques personalizados contra distintas instituciones financieras utilizando kits de phishing diseñados para imitar la interfaz de usuario de la entidad objetivo, al mismo tiempo que adoptan métodos antidetección mediante geovallado y huellas digitales de dispositivos para limitar las conexiones solo a dispositivos móviles.

65e1c69bdc69fc95360b6b71 f1

El kit de phishing, que funciona como una página de inicio de sesión falsa, es responsable de capturar las credenciales de los clientes de banca minorista y los números de teléfono, enviando los detalles a un grupo de Telegram.

Parte de la infraestructura maliciosa utilizada para la campaña está diseñada para distribuir Copybara, que es gestionado mediante un panel C2 llamado JOKER RAT que muestra todos los dispositivos infectados y su distribución geográfica en un mapa en vivo.

También permite a los actores de amenazas interactuar de forma remota y en tiempo real con un dispositivo infectado utilizando un módulo VNC, además de inyectar superposiciones falsas sobre aplicaciones bancarias para extraer credenciales, registrar pulsaciones de teclas abusando de los servicios de accesibilidad de Android e interceptar mensajes SMS.

Además, JOKER RAT cuenta con un constructor de APK que hace posible personalizar el nombre de la aplicación falsa, el nombre del paquete y los iconos.

«Otra característica disponible dentro del panel es la ‘Notificación Push’, probablemente utilizada para enviar a los dispositivos infectados notificaciones push falsas que parecen una notificación bancaria para incitar al usuario a abrir la aplicación bancaria de manera que el malware pueda robar credenciales», dijeron los investigadores de Cleafy, Francesco Iubatti y Federico Valentini.

La creciente sofisticación de los esquemas de fraude en dispositivos (ODF) se evidencia aún más por una campaña de TeaBot (también conocido como Anatsa) recientemente revelada que logró infiltrarse en la Google Play Store bajo la apariencia de aplicaciones lectoras de PDF.

«Esta aplicación sirve como un dropper, facilitando la descarga de un troyano bancario de la familia TeaBot a través de múltiples etapas», dijo Iubatti. «Antes de descargar el troyano bancario, el dropper realiza técnicas avanzadas de evasión, incluida la ofuscación y la eliminación de archivos, junto con múltiples comprobaciones sobre los países de las víctimas».

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.