O novo trojan bancário conhecido como CHAVECLOAK, está sendo propagado via e-mails de phishing contendo anexos em PDF. Este ataque envolve o download de um arquivo ZIP pelo PDF e, subsequentemente, utiliza técnicas de side-loading de DLL para executar o malware final.

A cadeia de ataque envolve o uso de iscas temáticas de contrato do DocuSign para enganar os usuários a abrir arquivos PDF contendo um botão para ler e assinar os documentos. Presente dentro do instalador está um executável chamado “Lightshot.exe” que aproveita o side-loading de DLL para carregar “Lightshot.dll”, que é o malware CHAVECLOAK que facilita o roubo de informações sensíveis.

Isso inclui coletar metadados do sistema e realizar verificações para determinar se a máquina comprometida está localizada no Brasil e, se estiver, monitorar periodicamente a janela em primeiro plano para compará-la com uma lista predefinida de strings relacionadas a bancos. O malware monitora ativamente o acesso da vítima a portais financeiros específicos, incluindo vários bancos e o Mercado Bitcoin, que abrange tanto plataformas bancárias tradicionais quanto de criptomoedas.