出现新的银行木马 CHAVECLOAK，正通过网络钓鱼策略针对巴西用户

巴西的用户是一种新的银行木马CHAVECLOAK的目标，该木马通过带有PDF附件的网络钓鱼电子邮件进行传播。

“这种复杂的攻击涉及PDF下载ZIP文件，然后利用DLL侧载技术来执行最终的恶意软件，”Fortinet FortiGuard Labs研究员Cara Lin说。

攻击链涉及使用以合同为主题的 DocuSign 诱饵来诱骗用户打开包含阅读和签署文档按钮的 PDF 文件。

实际上，单击该按钮会导致从使用 Goo.su URL 缩短服务缩短的远程链接中检索安装程序文件。

安装程序中存在一个名为“Lightshot.exe”的可执行文件，它利用 DLL 旁加载来加载“Lightshot.dll”，这是一种有助于窃取敏感信息的 CHAVECLOAK 恶意软件。

这包括收集系统元数据并运行检查以确定受感染的计算机是否位于巴西，如果是，则定期监视前台窗口，以将其与预定义的银行相关字符串列表进行比较。

“该恶意软件促进了窃取受害者凭据的各种行动，例如允许操作员阻止受害者的屏幕，记录击键并显示欺骗性弹出窗口，”林说。

“该恶意软件会主动监控受害者对特定金融门户的访问，包括几家银行和 Mercado Bitcoin，其中包括传统银行和加密货币平台。”

Fortinet表示，它还发现了CHAVECLOAK的Delphi变体，再次凸显了针对拉丁美洲的基于Delphi的恶意软件的流行。

“CHAVECLOAK银行木马的出现突显了针对金融业的网络威胁的不断发展，特别是针对巴西的用户，”Lin总结道。

这一发现是在针对英国、西班牙和意大利的正在进行的移动银行欺诈活动之际发布的，该活动需要使用短信钓鱼和电话钓鱼（即短信和语音网络钓鱼）策略来部署一种名为 Copybara 的 Android 恶意软件，目的是执行未经授权的银行转账到由钱骡运营的银行账户网络。

Cleafy在上周发表的一份报告中说：“TA [威胁行为者]已经被发现使用一种结构化的方式，通过一个被称为'机器人先生'的集中式网络面板来管理所有正在进行的网络钓鱼活动。

“有了这个面板，TA 可以根据自己的需求启用和管理多个网络钓鱼活动（针对不同的金融机构）。”

C2 框架还允许攻击者使用旨在模仿目标实体用户界面的网络钓鱼工具包对不同的金融机构进行量身定制的攻击，同时还通过地理围栏和设备指纹识别采用反检测方法，以限制仅来自移动设备的连接。

网络钓鱼工具包 - 作为一个虚假的登录页面 - 负责捕获零售银行客户凭据和电话号码，并将详细信息发送到Telegram组。

用于该活动的一些恶意基础设施旨在提供 Copybara，该 Copybara 使用名为 JOKER RAT 的 C2 面板进行管理，该面板在实时地图上显示所有受感染的设备及其地理分布。

它还允许威胁行为者使用 VNC 模块与受感染的设备进行远程实时交互，此外还可以在银行应用程序之上注入虚假覆盖层以虹吸凭据、通过滥用 Android 的可访问性服务记录击键以及拦截 SMS 消息。

“面板内的另一个功能是'推送通知'，可能用于向受感染的设备发送虚假的推送通知，这些通知看起来像银行通知，以诱使用户以恶意软件可以窃取凭据的方式打开银行的应用程序，”Cleafy研究人员Francesco Iubatti和Federico Valentini说。

最近披露的 TeaBot（又名 Anatsa）活动进一步证明了设备端欺诈 （ODF） 计划的日益复杂，该活动以 PDF 阅读器应用程序为幌子成功渗透到 Google Play 商店。

“这个应用程序作为一个滴管，促进了TeaBot家族的银行木马的下载，通过多个阶段，”Iubatti说。“在下载银行木马之前，滴管会执行高级规避技术，包括混淆和文件删除，以及对受害国家的多次检查。”