A EST publicou ontem um alerta sobre o trojan Vadokrist, que está circulando principalmente no Brasil desde 2018. Segundo os pesquisadores da empresa, ele é um trojan latino-americano e pode ter sido criado por desenvolvedores brasileiros, já que parte do código está em português.
O trojan foi escrito em Delphi, oferece funcionalidade backdoor e tem como alvo instituições financeiras. Seu principal desvio em relação à implementação típica é que ele não coleta informações sobre as vítimas logo após comprometer com sucesso os dispositivos-alvo.
A pesquisa da EST indica que o Vadokrist pode estar associado às mesmas pessoas que operam outros trojans na região, como Amavaldo, Casbaneiro, Grandoreiro e Mekotio, os quais os pesquisadores também já descreveram.
Veja isso
Trojan Trickbot está de volta em nova campanha de spam malicioso
Trojan ataca finanças no Brasil e está pronto para exportação
Os e-mails mais recentes de distribuição do Vadokrist por meio de spam contêm dois arquivos ZIP aninhados que trazem dois arquivos – um instalador MSI e um arquivo CAB. Se uma vítima executar o instalador MSI, ela localiza o arquivo CAB e extrai seu conteúdo (um loader MSI) para o disco. Em seguida, executa um arquivo JavaScript que adiciona uma entrada de chave Run, garantindo que o carregador MSI seja executado na inicialização do sistema. Finalmente, o script reinicia a máquina. Na inicialização, o carregador MSI executa uma DLL embutida – o trojan bancário Vadokrist.
Com agências internacionais