O novo trojan bancário chamado CHAVECLOAK foi identificado sendo propagado via documentos PDF enviado para usuários brasileiros por meio de golpes de phishing, distribuídos por e-mail.
A ameaça foi descoberta pela empresa de cibersegurança Fortinet FortiGuard Labs e divulgada em relatório publicado na última semana.
Segundo a empresa, o malware é uma ameaça de nível alto e foi “projetado especificamente para atingir usuários no Brasil, com o objetivo de roubar informações confidenciais vinculadas a atividades financeiras”.
A equipe identificou que os ataques de infecção do malware envolvem o uso de comunicações de phishing, nas quais os criminosos falsificam um documento para parecer que ele é da DocuSign, plataforma que cria documentos de assinatura digital.
Esses arquivos são PDFs que contém um botão para ler e assinar documentos, conforme reportou o The Hacker News.
No entanto, ao abrir o documento e clicar no botão de assinar, o arquivo leva para um arquivo de instalação de link remoto que executa os executáveis “Lightshot.exe” e “Lightshot.dll” — que é justamente o malware CHAVECLOAK.
No Brasil, a Fortinet explica que o malware facilita várias ações para roubar as credenciais das vítimas, incluindo o bloqueio da tela do dispositivo, registrar as teclas digitadas e exibir janelas pop-up maliciosas.
Além disso, o trojan monitora ativamente o acesso das vítimas a sites de instituições financeiras, incluindo bancos e mercados de criptomoedas.
Para evitar essa ameaça, a equipe responsável informa que o CHAVECLOAK já é identificado pela sua solução antivírus FortiGuard Antivirus Service, capaz de desativar códigos maliciosos de documentos.
