O trojan bancário CHAVECLOAK está utilizando PDFs, downloads ZIP, sideloading de DLL e pop-ups enganosos para atacar usuários do setor bancário aqui no Brasil. O novo trojan, dissemina sua infecção através de phishing por SMS (SMishing), e-mails de phishing e sites comprometidos.

O malware tem como alvo dispositivos Windows e acessa plataformas de banco online, roubando suas credenciais bancárias e informações financeiras. O método de infecção do CHAVECLOAK está sob investigação, mas os pesquisadores suspeitam que os canais de distribuição potenciais incluam e-mails de phishing, phishing por SMS e sites comprometidos.

A campanha envolve e-mails maliciosos disfarçados de comunicações bancárias legítimas que podem enganar os usuários a baixar malware. Ele monitora ativamente as interações das vítimas com portais financeiros. O malware controla os dispositivos das vítimas e coleta informações financeiras sensíveis por meio de um arquivo PDF malicioso, alegando conter documentos de contrato com instruções em português.

No entanto, ele possui um link de downloader malicioso, que é processado via Goo.su e redireciona para um arquivo ZIP, resultando no arquivo MSI “NotafiscalGFGJKHKHGUURTURTF345.msi”.