Troyano CHAVECLOAK, ataca a usuarios brasileños con tácticas de phishing

Los usuarios brasileños son el blanco de un reciente troyano bancario denominado CHAVECLOAK, que se disemina a través de correos electrónicos de phishing que incorporan archivos PDF. Cara Lin, investigadora de Fortinet FortiGuard Labs, describió el ataque como intrincado, detallando que implica que el PDF descargue un archivo ZIP y, posteriormente, emplee tácticas de carga lateral de DLL para ejecutar el malware. La cadena de ataque utiliza señuelos con temática de contrato de DocuSign para persuadir a los usuarios a abrir archivos PDF que contienen un botón para revisar y firmar documentos. No obstante, al clicar en el botón, se recupera un archivo de instalación de un enlace remoto acortado mediante el servicio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Dentro del instalador, se encuentra un ejecutable denominado "Lightshot.exe", aprovechando la carga lateral de DLL para cargar "Lightshot.dll", que es el malware CHAVECLOAK responsable del robo de información confidencial. Este proceso incluye la recopilación de metadatos del sistema y la realización de comprobaciones para verificar la ubicación en Brasil de la máquina comprometida, seguido por la supervisión regular de la ventana en primer plano para compararla con una lista predefinida de cadenas relacionadas con entidades bancarias.

En caso de coincidencia, se establece una conexión con un servidor de comando y control (C2), y posteriormente se procede a recopilar diversos tipos de información, filtrándola hacia diferentes puntos finales en el servidor, adaptándose según la institución financiera correspondiente.

Cara Lin indicó que el malware presenta varias funcionalidades diseñadas para robar las credenciales de la víctima, permitiendo al operador bloquear la pantalla, registrar pulsaciones de teclas y mostrar ventanas emergentes engañosas. Además, mencionó que el malware monitorea activamente el acceso de la víctima a portales financieros específicos, abarcando tanto entidades bancarias convencionales como plataformas de criptomonedas como varios bancos y Mercado Bitcoin.

Fortinet también informó sobre el descubrimiento de una variante Delphi de CHAVECLOAK, subrayando una vez más la prevalencia del malware basado en Delphi orientado a América Latina.



La presencia del troyano bancario CHAVECLOAK destaca la evolución en curso del panorama de amenazas cibernéticas dirigidas al sector financiero, con un enfoque particular en los usuarios brasileños, según la conclusión de Lin.

Estos descubrimientos se producen en medio de una campaña continua de fraude bancario móvil dirigida al Reino Unido, España e Italia. Esta campaña utiliza tácticas de smishing y vishing (es decir, mensajes de texto y suplantación de voz) para implementar un malware de Android llamado Copybara. El objetivo de este malware es llevar a cabo transferencias bancarias no autorizadas hacia una red de cuentas bancarias gestionadas por mulas de dinero.

"Los actores de amenazas han sido detectados utilizando una metodología estructurada para gestionar todas las campañas de phishing en curso a través de un panel web centralizado conocido como 'Mr. Robot'", según informó Cleafy en un informe publicado la semana pasada.


Con esta plataforma, los usuarios tienen la capacidad de activar y gestionar diversas campañas de phishing dirigidas a diferentes instituciones financieras según sus necesidades.

Además, el marco C2 posibilita que los atacantes coordinen ataques personalizados contra distintas instituciones financieras mediante kits de phishing diseñados para replicar la interfaz de usuario de la entidad objetivo, al mismo tiempo que aplican métodos de evasión de detección mediante geocercas y huellas dactilares de dispositivos, restringiendo las conexiones exclusivamente a dispositivos móviles.


El conjunto de phishing, actuando como una interfaz de inicio de sesión falsa, se encarga de capturar las credenciales y números de teléfono de los clientes de la banca minorista, enviando estos detalles a un grupo de Telegram.

Una parte de la infraestructura maliciosa empleada en la campaña está específicamente diseñada para distribuir Copybara. Este malware es gestionado a través de un panel de control (C2) denominado JOKER RAT, que proporciona una visualización en tiempo real de todos los dispositivos infectados y su ubicación geográfica en un mapa interactivo.

Además, permite a los actores de amenazas interactuar remotamente en tiempo real con dispositivos infectados mediante un módulo VNC. También posibilita la inserción de superposiciones falsas en la parte superior de las aplicaciones bancarias para redirigir credenciales, registrar pulsaciones de teclas mediante el abuso de servicios de accesibilidad de Android e interceptar mensajes SMS.

Adicionalmente, JOKER RAT incluye un generador de APK que posibilita la personalización del nombre, el nombre del paquete y los íconos de la aplicación maliciosa.

"Otra característica disponible en el panel es la 'Notificación Push', presumiblemente empleada para enviar notificaciones push falsas a los dispositivos infectados, simulando ser una alerta bancaria y atrayendo al usuario a abrir la aplicación del banco, facilitando así el robo de credenciales", informaron los investigadores de Cleafy, Francesco Iubatti y Federico Valentini.

La creciente complejidad de los esquemas de fraude en dispositivos (ODF) se destaca aún más en una reciente campaña de TeaBot (también conocida como Anatsa) que logró infiltrarse en la tienda Google Play bajo la apariencia de aplicaciones de lectura de PDF.

"Esta aplicación actúa como un cuentagotas, simplificando la descarga de un troyano bancario perteneciente a la familia TeaBot a través de múltiples fases", indicó Iubatti. "Antes de la descarga del troyano bancario, el dropper implementa técnicas avanzadas de evasión, como la ofuscación y eliminación de archivos, junto con diversas verificaciones basadas en los países objetivos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta