Cyberthreat.id – Pengguna di Brasil menjadi target trojan perbankan baru yang dikenal sebagai CHAVECLOAK yang disebarkan melalui email phishing yang berisi lampiran PDF.
“Serangan rumit ini melibatkan PDF mengunduh file ZIP dan kemudian memanfaatkan teknik side-loading DLL untuk mengeksekusi malware terakhir,” kata peneliti Fortinet FortiGuard Labs, Cara Lin, kepada The Hacker News.
Rantai serangan ini melibatkan penggunaan umpan DocuSign bertema kontrak untuk mengelabui pengguna agar membuka file PDF yang berisi tombol untuk membaca dan menandatangani dokumen.
Kenyataannya, mengklik tombol tersebut akan mengarah pada pengambilan file penginstal dari tautan jarak jauh yang dipersingkat menggunakan layanan pemendekan URL Goo.su.
Hadir dalam penginstal adalah executable bernama “Lightshot.exe” yang memanfaatkan side-loading DLL untuk memuat “Lightshot.dll,” yang merupakan malware CHAVECLOAK yang memfasilitasi pencurian informasi sensitif.
Hal ini termasuk mengumpulkan metadata sistem dan menjalankan pemeriksaan untuk menentukan apakah mesin yang disusupi berlokasi di Brasil dan, jika demikian, secara berkala memantau jendela latar depan untuk membandingkannya dengan daftar string terkait bank yang telah ditentukan sebelumnya.
Jika cocok, koneksi dibuat dengan server perintah-dan-kontrol (C2) dan mulai mengumpulkan berbagai jenis informasi dan menyaringnya ke titik akhir yang berbeda di server tergantung pada lembaga keuangan.
“Malware ini memfasilitasi berbagai tindakan untuk mencuri kredensial korban, seperti mengizinkan operator memblokir layar korban, mencatat penekanan tombol, dan menampilkan jendela pop-up yang menipu,” kata Lin.
“Malware ini secara aktif memantau akses korban ke portal keuangan tertentu, termasuk beberapa bank dan Mercado Bitcoin, yang mencakup platform perbankan tradisional dan mata uang kripto.”
Fortinet mengatakan pihaknya juga menemukan varian Delphi dari CHAVECLOAK, sekali lagi menyoroti prevalensi malware berbasis Delphi yang menargetkan Amerika Latin.
“Munculnya Trojan perbankan CHAVECLOAK menggarisbawahi berkembangnya lanskap ancaman siber yang menargetkan sektor keuangan, khususnya yang berfokus pada pengguna di Brasil,” simpul Lin.
Temuan ini muncul di tengah kampanye penipuan mobile banking yang sedang berlangsung terhadap Inggris, Spanyol, dan Italia yang melibatkan penggunaan taktik smishing dan vishing (yaitu, SMS dan phishing suara) untuk menyebarkan malware Android bernama Copybara dengan tujuan melakukan transfer perbankan tidak sah ke sebuah bank. jaringan rekening bank yang dioperasikan oleh money bagal.
“TA [threat actors] telah ditangkap menggunakan cara terstruktur dalam mengelola semua kampanye phishing yang sedang berlangsung melalui panel web terpusat yang dikenal sebagai ‘Mr. Robot,’” kata Cleafy dalam laporan yang diterbitkan minggu lalu.
“Dengan panel ini, TA dapat mengaktifkan dan mengelola beberapa kampanye phishing (terhadap berbagai lembaga keuangan) berdasarkan kebutuhan mereka.”
Kerangka kerja C2 juga memungkinkan penyerang untuk mengatur serangan yang disesuaikan terhadap lembaga keuangan tertentu menggunakan perangkat phishing yang dirancang untuk meniru antarmuka pengguna dari entitas yang ditargetkan, sekaligus mengadopsi metode anti-deteksi melalui geofencing dan sidik jari perangkat untuk membatasi koneksi hanya dari perangkat seluler.
Kit phishing – yang berfungsi sebagai halaman login palsu – bertanggung jawab untuk menangkap kredensial pelanggan perbankan ritel dan nomor telepon dan mengirimkan detailnya ke grup Telegram.
Beberapa infrastruktur berbahaya yang digunakan untuk kampanye ini dirancang untuk mengirimkan Copybara, yang dikelola menggunakan panel C2 bernama JOKER RAT yang menampilkan semua perangkat yang terinfeksi dan distribusi geografisnya melalui peta langsung.
Hal ini juga memungkinkan pelaku ancaman untuk berinteraksi jarak jauh secara real-time dengan perangkat yang terinfeksi menggunakan modul VNC, selain menyuntikkan overlay palsu di atas aplikasi perbankan untuk menyedot kredensial, mencatat penekanan tombol dengan menyalahgunakan layanan aksesibilitas Android, dan menyadap pesan SMS.
Selain itu, JOKER RAT hadir dengan pembuat APK yang memungkinkan untuk menyesuaikan nama aplikasi jahat, nama paket, dan ikon.
“Fitur lain yang tersedia di dalam panel adalah ‘Pemberitahuan Push’, yang mungkin digunakan untuk mengirim pemberitahuan push palsu ke perangkat yang terinfeksi yang terlihat seperti pemberitahuan bank untuk membujuk pengguna agar membuka aplikasi bank sedemikian rupa sehingga malware dapat mencuri kredensial,” kata peneliti Cleafy Francesco Iubatti dan Federico Valentini.
Semakin canggihnya skema penipuan pada perangkat (ODF) dibuktikan lebih lanjut dengan terungkapnya kampanye TeaBot (alias Anatsa) yang baru-baru ini berhasil menyusup ke Google Play Store dengan kedok aplikasi pembaca PDF.
“Aplikasi ini berfungsi sebagai dropper, memfasilitasi pengunduhan trojan perbankan keluarga TeaBot melalui beberapa tahap,” kata Iubatti.
“Sebelum mengunduh trojan perbankan, dropper melakukan teknik penghindaran tingkat lanjut, termasuk kebingungan dan penghapusan file, serta beberapa pemeriksaan tentang negara korban.”[]
