Descripción
La variante principal de CHAVECLOAK se distribuye mediante un archivo ZIP que contiene un ejecutable desarrollado en Delphi. Una vez ejecutado, este crea una carpeta y almacena su carga útil en «C:\Program Files (x86)\Editor-GH-[HEX ID]\Editor-[HEX ID].exe». Posteriormente, establece persistencia en el sistema y utiliza comandos PowerShell para eludir la detección por parte de Windows Defender y llevar a cabo la recopilación y exfiltración de información.
Además, se ha observado otra variante de CHAVECLOAK que se distribuye a través de correos electrónicos de tipo phishing. Estos correos engañosos incluyen un enlace malicioso que supuestamente lleva a un archivo PDF, pero en realidad descarga un archivo ZIP que contiene un archivo MSI. Este archivo MSI incluye varios archivos TXT, un archivo ejecutable legítimo llamado “Lightshot.exe” y una DLL maliciosa llamada “Lightshot.dll”.
Lea: Descubre la guía interactiva para disfrutar la Copa América en Bogotá
Al ejecutar el archivo MSI, se ejecuta el archivo .EXE que a su vez extrae y genera archivos en “%AppData%\Skillbrains\lightshot\5.5.0.7”. Posteriormente, el ejecutable utiliza técnicas para descargar y activar la DLL maliciosa, que se encarga de recopilar información confidencial y establecer persistencia a través de claves de registro.
Después de llevar a cabo estas actividades, CHAVECLOAK monitorea periódicamente las actividades del usuario, al identificar una ventana relacionada con el nombre de una lista predefinida asociada con bancos, el troyano bancario establece comunicación con su servidor de comando y control (C2) para la exfiltración de los datos capturados. Una vez que CHAVECLOAK ha llevado a cabo estas actividades, captura datos y monitorea periódicamente las acciones del usuario. En caso de detectar una ventana relacionada con el nombre de un banco en una lista predefinida, el troyano establece comunicación con su servidor de comando y control (C2) para exfiltrar los datos capturados.
Recomendaciones
La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:
- Capacitar a los empleados y usuarios para que sean conscientes de los correos electrónicos de phishing que contienen enlaces maliciosos o archivos adjuntos sospechosos. Fomentar una cultura de seguridad informática donde se cuestione cualquier correo electrónico inesperado o sospechoso.
- Utilizar herramientas de control de ejecución de archivos es una medida crucial para restringir la capacidad de ejecutar archivos desconocidos o no autorizados en el sistema. Esta acción reduce significativamente el riesgo de ejecutar archivos maliciosos descargados de fuentes no confiables, protegiendo así el equipo y la información sensible.
Leer noticia: https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil