CHAVECLOAK银行木马通过恶意的PDF文档欺骗巴西人
请留意新的CHAVECLOAK银行木马,它通过短信网络钓鱼(SMishing)、网络钓鱼电子邮件和受感染的网站传播感染。CHAVECLOAK银行木马利用PDF、ZIP下载、DLL侧载和欺骗性弹出窗口来针对巴西毫无戒心的银行用户金融部门。
FortiGuard实验室的网络安全研究人员发现了一种名为CHAVECLOAK的高危木马,针对巴西银行用户。该恶意软件以Windows设备为目标并访问在线银行平台,窃取其银行凭证和财务信息。
CHAVECLOAK感染方法正在调查中,但研究人员怀疑潜在的传播渠道包括网络钓鱼电子邮件、短信网络钓鱼和受感染的网站。
根据该公司的博客文章,该活动涉及伪装成合法银行通信的恶意电子邮件,可能会诱骗用户下载恶意软件。然后,它利用葡萄牙语设置、DLL侧加载和欺骗性弹出窗口来攻击毫无戒心的用户。它积极监控受害者与金融门户的互动。
值得指出的是,DLL侧载会带来巨大的安全风险,因为它允许恶意软件利用合法进程,而不会引起怀疑或被检测到。
该恶意软件控制受害者的设备,并通过恶意PDF文件收集敏感的财务信息,声称包含带有葡萄牙语说明的合同文档。然而,它有一个恶意下载器链接,该链接通过Goo.su处理并重定向到ZIP文件,从而生成MSI文件“NotafiscalGFGJKHKHGUURTURTF345.msi”。
解压后,MSI安装程序会显示多个TXT文件、一个合法的执行文件和一个名为“Lightshot.dll”的恶意DLL。DLL文件的修改日期比其他文件更新。安装程序执行文件“Lightshot.exe”并使用DLL侧面加载技术来执行恶意DLL。这使得合法的可执行文件可以谨慎地运行恶意代码,从而实现数据盗窃等未经授权的活动。
此外,该恶意软件使用“GetVolumeInformationW”进程收集文件系统和卷信息,生成日志文件,并在用户登录时执行“Lightshot.exe”程序。它使用API“GetForegroundWindow”和“GetWindowTextW”发送HTTP请求、记录数据并监视前台窗口。
然后,恶意软件与其C2服务器进行通信,促进窃取受害者凭据、阻止其屏幕、记录击键以及显示欺骗性弹出窗口的操作。
此外,它还积极监控对金融门户的访问,包括巴西和拉丁美洲最大的数字货币交易所Mercado Bitcoin,该交易所结合了传统和加密货币平台以及传统银行。
被盗信息被上传到不同的路径。恶意软件配置帐户信息并发送POST请求。该恶意软件主动监控受害者与金融门户的交互,凸显了当代银行木马的复杂性。
为了保护自己免受CHAVECLOAK和类似银行木马的侵害,请谨慎对待电子邮件和短信、验证网站合法性、启用双因素身份验证(2FA)、使用强密码,并定期更新您的操作系统、Web浏览器和安全软件以解决已知问题漏洞。避免点击可疑链接或附件,并仔细检查网站URL是否有拼写错误或细微变化。