Pesquisadores da ESET descobriram um novo trojan bancário que tem como alvo os usuários corporativos no Brasil. Nomeado pelos pesquisadores como Janeleiro, o trojan está ativo desde, pelo menos, 2019 em muitos setores, incluindo engenharia, saúde, varejo, indústria, finanças, transporte e instituições governamentais.
De acordo com a pesquisa, o Janeleiro tenta enganar suas vítimas com janelas pop-up projetadas para se parecerem com os sites de alguns dos maiores bancos do Brasil. Depois disso, ele faz com que as vítimas do malware insiram suas credenciais bancárias e informações pessoais. O Janeleiro capaz de controlar janelas na tela, coletar informações sobre elas, matar chrome.exe (Google Chrome), fazer captura de tela, bem como controlar teclas de keylogging, movimentos do mouse, e pode sequestrar a área de transferência para alterar endereços de bitcoin com os de criminosos em tempo real.
Ao longo dos dois últimos anos, a ESET conduziu uma série de investigações sobre famílias proeminentes de trojans bancários visando a América Latina. O Janeleiro segue exatamente o mesmo plano para a implementação central dessa técnica como algumas das famílias de malware mais proeminentes que visam a região: Casbaneiro, Grandoreiro, Mekotio, Amavaldo e Vadokrist, entre outros. No entanto, ele se diferencia dessas famílias de várias maneiras, como na linguagem de codificação, por exemplo. Seguindo o blueprint, os trojans bancários no Brasil são todos codificados na mesma linguagem de programação, a Delphi. O Janeleiro é o primeiro visto no Brasil a ser codificado em .NET. Outros recursos distintos do malware incluem: ausência de ofuscação, ausência de criptografia customizada e ausência de defesas contra softwares de segurança dos dispositivos afetados.
A maioria dos comandos do Janeleiro são para o controle de janelas, mouse e teclado, e suas falsas janelas pop-up. "A natureza de um ataque de Janeleiro não é caracterizada por suas capacidades de automação, mas sim pela abordagem prática: em muitos casos, o operador deve ajustar as janelas pop-up por meio de comandos executados em tempo real", diz o pesquisador da ESET Facundo Munhoz , que descobriu o Janeleiro.
Parece que o trojan bancário estava em desenvolvimento já em 2018 e, em 2020, melhorou seu processamento de comando para dar ao operador melhor controle durante o ataque", acrescenta Muñoz, que continua: "O caráter experimental do Janeleiro indo e vindo entre versões diferentes revela um ator de ameaça que ainda está tentando encontrar a maneira certa de gerenciar suas ferramentas, mas não é menos experiente em seguir o projeto exclusivo de muitas famílias de malware na América Latina".
Curiosamente, esse agente de ameaça se sente confortável usando o site do repositório GitHub para armazenar seus módulos, administrando sua página de organização e carregando novos repositórios todos os dias, onde armazena os arquivos com as listas de seus servidores C&C que os trojans recuperam para se conectar aos seus operadores. Quando uma das palavras-chave relacionadas a serviços bancários é encontrada no dispositivo da vítima, ela imediatamente tenta recuperar os endereços de seus servidores C&C do GitHub e se conecta a eles. Essas janelas pop-up falsas são criadas dinamicamente sob demanda e controladas pelo invasor por meio de comandos. A ESET notificou o GitHub sobre essa atividade, mas até o momento da redação deste alerta, nenhuma ação havia sido executada contra a página da organização nem contra a conta do usuário.
