Gebruikers in Brazilië zijn het doelwit van een nieuwe banktrojan, bekend als KAVELKLEDING die wordt verspreid via phishing-e-mails met pdf-bijlagen.
“Deze ingewikkelde aanval houdt in dat de PDF een ZIP-bestand downloadt en vervolgens DLL-side-loading-technieken gebruikt om de uiteindelijke malware uit te voeren”, aldus Fortinet FortiGuard Labs-onderzoeker Cara Lin.
De aanvalsketen omvat het gebruik van DocuSign-lokmiddelen met een contractthema om gebruikers te misleiden zodat ze PDF-bestanden openen die een knop bevatten om de documenten te lezen en te ondertekenen.
In werkelijkheid leidt het klikken op de knop tot het ophalen van een installatiebestand van een externe link die is ingekort met behulp van de URL-verkortingsservice van Goo.su.
In het installatieprogramma is een uitvoerbaar bestand aanwezig met de naam “Lightshot.exe” dat gebruikmaakt van DLL-side-loading om “Lightshot.dll” te laden, de CHAVECLOAK-malware die de diefstal van gevoelige informatie mogelijk maakt.
Dit omvat het verzamelen van systeemmetagegevens en het uitvoeren van controles om te bepalen of de gecompromitteerde machine zich in Brazilië bevindt en, als dat het geval is, het periodiek monitoren van het voorgrondvenster om het te vergelijken met een vooraf gedefinieerde lijst met bankgerelateerde strings.
Als dit overeenkomt, wordt er een verbinding tot stand gebracht met een command-and-control (C2)-server en wordt vervolgens verschillende soorten informatie verzameld en geëxfiltreerd naar verschillende eindpunten op de server, afhankelijk van de financiële instelling.
“De malware faciliteert verschillende acties om de inloggegevens van een slachtoffer te stelen, zoals het toestaan dat de operator het scherm van het slachtoffer blokkeert, toetsaanslagen registreert en misleidende pop-upvensters weergeeft”, aldus Lin.
“De malware monitort actief de toegang van het slachtoffer tot specifieke financiële portalen, waaronder verschillende banken en Mercado Bitcoin, die zowel traditionele bank- als cryptocurrency-platforms omvat.”
Fortinet zei dat het ook een Delphi-variant van CHAVECLOAK heeft ontdekt, waarmee opnieuw de prevalentie van op Delphi gebaseerde malware gericht op Latijns-Amerika wordt benadrukt.
“De opkomst van de CHAVECLOAK-banktrojan onderstreept het evoluerende landschap van cyberdreigingen gericht op de financiële sector, met name gericht op gebruikers in Brazilië,” concludeerde Lin.
De bevindingen komen te midden van een voortdurende fraudecampagne tegen mobiel bankieren tegen Groot-Brittannië, Spanje en Italië, waarbij gebruik wordt gemaakt van smishing- en vishing-tactieken (dat wil zeggen sms en voicephishing) om een Android-malware genaamd Copybara in te zetten met als doel ongeoorloofde bankoverschrijvingen uit te voeren naar een netwerk van bankrekeningen beheerd door geldmuilezels.
“TA’s [Threat actors] zijn betrapt op het gebruik van een gestructureerde manier om alle lopende phishing-campagnes te beheren via een gecentraliseerd webpaneel dat bekend staat als ‘Mr. Robot”, zei Cleafy in een rapport dat vorige week werd gepubliceerd.
“Met dit paneel kunnen TA’s meerdere phishing-campagnes (tegen verschillende financiële instellingen) inschakelen en beheren op basis van hun behoeften.”
Het C2-framework stelt aanvallers ook in staat om op maat gemaakte aanvallen op verschillende financiële instellingen te orkestreren met behulp van phishing-kits die zijn ontworpen om de gebruikersinterface van de beoogde entiteit na te bootsen, terwijl ze ook anti-detectiemethoden gebruiken via geofencing en device-fingerprinting om verbindingen alleen vanaf mobiele apparaten te beperken.
De phishing-kit – die dient als een nep-inlogpagina – is verantwoordelijk voor het vastleggen van de inloggegevens en telefoonnummers van retailbankingklanten en het verzenden van de gegevens naar een Telegram-groep.
Een deel van de kwaadaardige infrastructuur die voor de campagne wordt gebruikt, is ontworpen om Copybara te leveren, dat wordt beheerd met behulp van een C2-paneel genaamd JOKER RAT dat alle geïnfecteerde apparaten en hun geografische verspreiding op een live kaart weergeeft.
Het stelt de bedreigingsactoren ook in staat om op afstand in realtime te communiceren met een geïnfecteerd apparaat met behulp van een VNC-module, naast het injecteren van nep-overlays bovenop bankapps om inloggegevens over te hevelen, toetsaanslagen te loggen door de toegankelijkheidsdiensten van Android te misbruiken en sms-berichten te onderscheppen.
Bovendien wordt JOKER RAT geleverd met een APK-builder die het mogelijk maakt om de naam, pakketnaam en pictogrammen van de frauduleuze app aan te passen.
“Een andere functie die beschikbaar is in het paneel is de ‘Push Notification’, die waarschijnlijk wordt gebruikt om valse pushmeldingen naar de geïnfecteerde apparaten te sturen die op een bankmelding lijken om de gebruiker te verleiden de app van de bank te openen op een zodanige manier dat de malware inloggegevens kan stelen ”, aldus Cleafy-onderzoekers Francesco Iubatti en Federico Valentini.
De toenemende verfijning van fraude op het apparaat (ODF) wordt verder bewezen door een onlangs onthulde TeaBot-campagne (ook wel Anatsa genoemd) die erin slaagde de Google Play Store te infiltreren onder het mom van pdf-lezer-apps.
“Deze applicatie fungeert als een dropper en vergemakkelijkt het downloaden van een banktrojan van de TeaBot-familie via meerdere fasen”, aldus Iubatti. “Voordat de banktrojan wordt gedownload, voert de dropper geavanceerde ontwijkingstechnieken uit, waaronder verduistering en het verwijderen van bestanden, naast meerdere controles over de slachtofferlanden.”
