Denominado ChaveCloak, o trojan está se espalhando por meio de um arquivo PDF malicioso, e as vítimas podem descobrir que suas credenciais bancárias foram roubadas após a infecção.
Recentemente, especialistas em segurança da empresa Fortinet detectaram um novo tipo de software malicioso destinado a extrair informações confidenciais de contas bancárias de residentes no Brasil. Batizado de ChaveCloak, esse programa malicioso está sendo distribuído por meio de arquivos PDF adulterados, levando as vítimas a descobrirem o roubo de suas informações bancárias após a infecção, conforme relatado pelos analistas da empresa.
A incidência de programas maliciosos voltados para bancos é recorrente no Brasil, onde recentemente autoridades policiais anunciaram a desarticulação de uma quadrilha responsável pelo malware Grandoreiro, que gerou lucros ilícitos de quase US$ 4 milhões ao longo de vários anos.
De acordo com informações da Fortinet, o grupo por trás do ChaveCloak possui objetivos semelhantes, facilitando diversas maneiras de obter acesso às credenciais das vítimas, como bloquear a tela do dispositivo, registrar as teclas digitadas e exibir mensagens pop-up enganosas. Além de monitorar o acesso dos usuários a portais financeiros específicos, os pesquisadores afirmam que o ChaveCloak também busca conexões com o Mercado Bitcoin, uma das principais plataformas de criptomoedas que oferece serviços bancários tradicionais, além de recursos relacionados a criptomoedas.
Os arquivos PDF maliciosos parecem se apresentar como documentos relacionados a contratos, contendo instruções em português, induzindo as vítimas a clicarem em um botão para visualizar e assinar os supostos documentos anexados. Entretanto, na realidade, trata-se de um link de download malicioso.
Outros exemplos de atividades relacionadas a crimes cibernéticos no Brasil incluem a operação do botnet Horabot, uma campanha direcionada a instituições bancárias em Portugal, alegadas conexões de brasileiros com o grupo de hackers Lapsus$, e a disseminação do trojan bancário Mekotio.