Пользователи в Бразилии являются мишенью нового банковского трояна, известного как CHAVECLOAK, который распространяется через фишинговые электронные письма с вложениями в формате PDF.
"Эта сложная атака включает загрузку PDF-файла из ZIP-файла и последующее использование методов сторонней загрузки DLL для запуска финального вредоносного ПО", - сказала исследователь FortiGuard Labs от Fortinet Кара Лин.
Цепочка атак включает использование приманки DocuSign на контрактную тематику, чтобы обманом заставить пользователей открывать PDF-файлы, содержащие кнопку для чтения и подписания документов.
В реальности, нажатие кнопки приводит к получению файл установщика с удаленного ссылка, которая укорачивается с помощью Goo.su сервис сокращения URL-адресов.
В установщике присутствует исполняемый файл с именем "Lightshot.exe", который использует стороннюю загрузку DLL для загрузки "Lightshot.dll" вредоносного ПО CHAVECLOAK, которое облегчает кражу конфиденциальной информации.
Это включает сбор системных метаданных и выполнение проверок, чтобы определить, находится ли скомпрометированный компьютер в Бразилии, и, если да, периодически отслеживать окно переднего плана, чтобы сравнить его с заранее определенным списком строк, связанных с банком.
Если это соответствует, устанавливается соединение с сервером командования и управления (C2) и продолжается сбор различных видов информации и ее эксфильтрация в различные конечные точки на сервере в зависимости от финансового учреждения.
"Вредоносное ПО облегчает различные действия по краже учетных данных жертвы, например, позволяет оператору блокировать экран жертвы, регистрировать нажатия клавиш и отображать обманчивые всплывающие окна", - сказал Лин.
"Вредоносная программа активно отслеживает доступ жертвы к определенным финансовым порталам, включая несколько банков и Mercado Bitcoin, который охватывает как традиционные банковские, так и криптовалютные платформы".
Fortinet заявила, что также обнаружила версию CHAVECLOAK на Delphi, что еще раз подчеркивает распространенность вредоносного ПО на основе Delphi, нацеленного на Латинскую Америку.
"Появление банковского трояна CHAVECLOAK подчеркивает эволюционирующий ландшафт киберугроз, нацеленных на финансовый сектор, особенно с упором на пользователей в Бразилии", - заключил Лин.
Выводы сделаны на фоне продолжающейся кампании мошенничества с мобильным банкингом против Великобритании, Испании и Италии, которая предполагает использование тактики smishing и vishing (то есть SMS- и голосового фишинга) для развертывания вредоносного ПО для Android под названием Copybara с целью осуществления несанкционированных банковских переводов на сеть банковских счетов, которыми управляют денежные мулы.
"TA [Участники угрозы] были пойманы на использовании структурированного способа управления всеми текущими фишинговыми кампаниями через централизованную веб-панель, известную как "Mr. Робота", - сказал Клифи в отчете, опубликованном на прошлой неделе.
"С помощью этой панели TAs может включать несколько фишинговых кампаний (против разных финансовых учреждений) и управлять ими в зависимости от их потребностей".
Платформа C2 также позволяет злоумышленникам организовывать индивидуальные атаки на отдельные финансовые учреждения, используя фишинговые наборы, разработанные для имитации пользовательского интерфейса целевой организации, а также применяя методы защиты от обнаружения с помощью геозоны и снятия отпечатков пальцев с устройств, чтобы ограничить подключения только с мобильных устройств.
Фишинговый набор, который служит поддельной страницей входа в систему, отвечает за сбор учетных данных и номеров телефонов клиентов розничных банковских учреждений и отправку данных в группу Telegram.
Часть вредоносной инфраструктуры, используемой для кампании, предназначена для доставки Copybara, которая управляется с помощью панели C2 под названием JOKER RAT, которая отображает все зараженные устройства и их географическое распределение на карте в реальном времени.
Он также позволяет субъектам угрозы удаленно взаимодействовать в режиме реального времени с зараженным устройством с помощью модуля VNC, в дополнение к внедрению поддельных наложений поверх банковских приложений для перекачки учетных данных, регистрации нажатий клавиш путем злоупотребления службами доступности Android и перехвата SMS-сообщений.
Кроме того, JOKER RAT поставляется с сборщиком APK, который позволяет настраивать название приложения-изгоя, название пакета и иконки.
"Еще одна функция, доступная внутри панели, - это "Push-уведомления", которые, вероятно, используются для отправки на зараженные устройства поддельных push-уведомлений, похожих на банковские уведомления, чтобы побудить пользователя открыть приложение банка таким образом, чтобы вредоносная программа могла украсть учетные данные", - сказали исследователи Cleafy Франческо Иубатти и Федерико Валентини.
О растущей изощренности схем мошенничества на устройствах (ODF) дополнительно свидетельствует недавно раскрытая кампания TeaBot (она же Anatsa), которой удалось проникнуть в Google Play Store под видом приложений для чтения PDF.
"Это приложение служит дроппером, облегчая загрузку банковского трояна семейства TeaBot в несколько этапов", - сказал Иубатти. "Перед загрузкой банковского трояна программа-дроппер использует передовые методы уклонения, включая обфускацию и удаление файлов, наряду с многочисленными проверками стран-жертв".
"Эта сложная атака включает загрузку PDF-файла из ZIP-файла и последующее использование методов сторонней загрузки DLL для запуска финального вредоносного ПО", - сказала исследователь FortiGuard Labs от Fortinet Кара Лин.
Цепочка атак включает использование приманки DocuSign на контрактную тематику, чтобы обманом заставить пользователей открывать PDF-файлы, содержащие кнопку для чтения и подписания документов.
В реальности, нажатие кнопки приводит к получению файл установщика с удаленного ссылка, которая укорачивается с помощью Goo.su сервис сокращения URL-адресов.
В установщике присутствует исполняемый файл с именем "Lightshot.exe", который использует стороннюю загрузку DLL для загрузки "Lightshot.dll" вредоносного ПО CHAVECLOAK, которое облегчает кражу конфиденциальной информации.
Это включает сбор системных метаданных и выполнение проверок, чтобы определить, находится ли скомпрометированный компьютер в Бразилии, и, если да, периодически отслеживать окно переднего плана, чтобы сравнить его с заранее определенным списком строк, связанных с банком.
Если это соответствует, устанавливается соединение с сервером командования и управления (C2) и продолжается сбор различных видов информации и ее эксфильтрация в различные конечные точки на сервере в зависимости от финансового учреждения.
"Вредоносное ПО облегчает различные действия по краже учетных данных жертвы, например, позволяет оператору блокировать экран жертвы, регистрировать нажатия клавиш и отображать обманчивые всплывающие окна", - сказал Лин.
"Вредоносная программа активно отслеживает доступ жертвы к определенным финансовым порталам, включая несколько банков и Mercado Bitcoin, который охватывает как традиционные банковские, так и криптовалютные платформы".
Fortinet заявила, что также обнаружила версию CHAVECLOAK на Delphi, что еще раз подчеркивает распространенность вредоносного ПО на основе Delphi, нацеленного на Латинскую Америку.
"Появление банковского трояна CHAVECLOAK подчеркивает эволюционирующий ландшафт киберугроз, нацеленных на финансовый сектор, особенно с упором на пользователей в Бразилии", - заключил Лин.
Выводы сделаны на фоне продолжающейся кампании мошенничества с мобильным банкингом против Великобритании, Испании и Италии, которая предполагает использование тактики smishing и vishing (то есть SMS- и голосового фишинга) для развертывания вредоносного ПО для Android под названием Copybara с целью осуществления несанкционированных банковских переводов на сеть банковских счетов, которыми управляют денежные мулы.
"TA [Участники угрозы] были пойманы на использовании структурированного способа управления всеми текущими фишинговыми кампаниями через централизованную веб-панель, известную как "Mr. Робота", - сказал Клифи в отчете, опубликованном на прошлой неделе.
"С помощью этой панели TAs может включать несколько фишинговых кампаний (против разных финансовых учреждений) и управлять ими в зависимости от их потребностей".
Платформа C2 также позволяет злоумышленникам организовывать индивидуальные атаки на отдельные финансовые учреждения, используя фишинговые наборы, разработанные для имитации пользовательского интерфейса целевой организации, а также применяя методы защиты от обнаружения с помощью геозоны и снятия отпечатков пальцев с устройств, чтобы ограничить подключения только с мобильных устройств.
Фишинговый набор, который служит поддельной страницей входа в систему, отвечает за сбор учетных данных и номеров телефонов клиентов розничных банковских учреждений и отправку данных в группу Telegram.
Часть вредоносной инфраструктуры, используемой для кампании, предназначена для доставки Copybara, которая управляется с помощью панели C2 под названием JOKER RAT, которая отображает все зараженные устройства и их географическое распределение на карте в реальном времени.
Он также позволяет субъектам угрозы удаленно взаимодействовать в режиме реального времени с зараженным устройством с помощью модуля VNC, в дополнение к внедрению поддельных наложений поверх банковских приложений для перекачки учетных данных, регистрации нажатий клавиш путем злоупотребления службами доступности Android и перехвата SMS-сообщений.
Кроме того, JOKER RAT поставляется с сборщиком APK, который позволяет настраивать название приложения-изгоя, название пакета и иконки.
"Еще одна функция, доступная внутри панели, - это "Push-уведомления", которые, вероятно, используются для отправки на зараженные устройства поддельных push-уведомлений, похожих на банковские уведомления, чтобы побудить пользователя открыть приложение банка таким образом, чтобы вредоносная программа могла украсть учетные данные", - сказали исследователи Cleafy Франческо Иубатти и Федерико Валентини.
О растущей изощренности схем мошенничества на устройствах (ODF) дополнительно свидетельствует недавно раскрытая кампания TeaBot (она же Anatsa), которой удалось проникнуть в Google Play Store под видом приложений для чтения PDF.
"Это приложение служит дроппером, облегчая загрузку банковского трояна семейства TeaBot в несколько этапов", - сказал Иубатти. "Перед загрузкой банковского трояна программа-дроппер использует передовые методы уклонения, включая обфускацию и удаление файлов, наряду с многочисленными проверками стран-жертв".
