Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Trojan ChaveCloak ataca clientes de bancos brasileiros

Share on linkedin
Share on twitter
Share on facebook

Os especialistas do FortiGuard Labs descobriram uma nova ameaça ao setor financeiro na América do Sul. Novo malware CHAVECLOAK visa roubar credenciais bancárias de pessoas no Brasil.

O Trojan é distribuído através de um arquivo PDF infectado que se disfarça como um contrato. A vítima é atraída a abrir o arquivo para ler e assinar documentos, mas na realidade isso leva ao download de malware. Quando você abre um arquivo PDF, um arquivo ZIP é baixado. Em seguida, é extraído um arquivo MSI contendo muitos arquivos de texto para vários idiomas, um arquivo executável legítimo e uma DLL maliciosa, que é carregada usando o método DLL Sideloading .

Cadeia de infecção CHAVECLOAK

O Trojan CHAVECLOAK, disfarçado de “Lightshot.dll”, inicia seu trabalho coletando informações sobre o sistema, instala-se na inicialização e envia solicitações ao servidor de Comando e Controle ( C2 ). Caso a vítima esteja no Brasil, o programa ativa o monitoramento da janela ativa e, ao ser detectada uma janela do sistema bancário ou plataforma de criptomoeda, começa a coletar logins e senhas. Em particular, o Trojan tenta identificar conexões com o Mercado Bitcoin, uma grande exchange de criptomoedas com funções bancárias tradicionais.

CHAVECLOAK também inclui a capacidade de bloquear a tela da vítima, registrar as teclas digitadas (keylogging) e exibir pop-ups falsos. Os dados roubados são transferidos para o servidor C2, de onde os invasores podem usá-los para novos ataques.

Também foi detectada uma versão antiga do CHAVECLOAK, que difere no método de distribuição e nas ações após a infecção. A versão “herdada” contém um executável Delphi que injeta a carga final e usa comandos do PowerShell para ignorar a proteção do Windows Defender.

O surgimento do Trojan CHAVECLOAK destaca o crescente nível de ameaça no setor financeiro, especialmente entre usuários no Brasil. Trojans como o CHAVECLOAK exigem atenção constante e medidas de segurança proativas para proteção contra ameaças em evolução no setor financeiro sul-americano.

Além do CHAVECLOAK, outras campanhas de crimes cibernéticos já foram registradas no Brasil. Por exemplo, no início de fevereiro, os especialistas da Kaspersky Lab descobriram o Trojan bancário Coyote, que visava utilizadores de mais de 60 instituições bancárias, principalmente do Brasil. Uma característica distintiva deste malware é a sua complexa cadeia de infecção, que utiliza várias tecnologias avançadas, distinguindo o Coyote de outros Trojans bancários.

Além disso, a botnet Grandoreiro foi interrompida em janeiro , fazendo com que as vítimas sofressem US$ 3,9 milhões em danos. A maioria das vítimas usava o Windows e o maior número de ataques ocorreu no Brasil, no México e na Espanha.