Pesquisadores da ESET descobrem novo trojan bancário que afeta usuários corporativos no Brasil

0

Pesquisadores da ESET descobriram um novo trojan bancário que tem como alvo os usuários corporativos no Brasil. Nomeado pelos pesquisadores como Janeleiro, o trojan está ativo desde, pelo menos, 2019 em muitos setores, incluindo engenharia, saúde, varejo, indústria, finanças, transporte e instituições governamentais.

De acordo com a pesquisa, o Janeleiro tenta enganar suas vítimas com janelas pop-up projetadas para se parecerem com os sites de alguns dos maiores bancos do Brasil. Depois disso, ele faz com que as vítimas do malware insiram suas credenciais bancárias e informações pessoais. O Janeleiro capaz de controlar janelas na tela, coletar informações sobre elas, matar chrome.exe (Google Chrome), fazer captura de tela, bem como controlar teclas de keylogging, movimentos do mouse, e pode sequestrar a área de transferência para alterar endereços de bitcoin com os de criminosos em tempo real.

Ao longo dos dois últimos anos, a ESET conduziu uma série de investigações sobre famílias proeminentes de trojans bancários visando a América Latina. O Janeleiro segue exatamente o mesmo plano para a implementação central dessa técnica como algumas das famílias de malware mais proeminentes que visam a região: Casbaneiro, Grandoreiro, Mekotio, Amavaldo e Vadokrist, entre outros. No entanto, ele se diferencia dessas famílias de várias maneiras, como na linguagem de codificação, por exemplo. Seguindo o blueprint, os trojans bancários no Brasil são todos codificados na mesma linguagem de programação, a Delphi. O Janeleiro é o primeiro visto no Brasil a ser codificado em .NET. Outros recursos distintos do malware incluem: ausência de ofuscação, ausência de criptografia customizada e ausência de defesas contra softwares de segurança dos dispositivos afetados.

A maioria dos comandos do Janeleiro são para o controle de janelas, mouse e teclado, e suas falsas janelas pop-up. "A natureza de um ataque de Janeleiro não é caracterizada por suas capacidades de automação, mas sim pela abordagem prática: em muitos casos, o operador deve ajustar as janelas pop-up por meio de comandos executados em tempo real", diz o pesquisador da ESET Facundo Munhoz , que descobriu o Janeleiro.

Parece que o trojan bancário estava em desenvolvimento já em 2018 e, em 2020, melhorou seu processamento de comando para dar ao operador melhor controle durante o ataque", acrescenta Muñoz, que continua: "O caráter experimental do Janeleiro indo e vindo entre versões diferentes revela um ator de ameaça que ainda está tentando encontrar a maneira certa de gerenciar suas ferramentas, mas não é menos experiente em seguir o projeto exclusivo de muitas famílias de malware na América Latina".

Curiosamente, esse agente de ameaça se sente confortável usando o site do repositório GitHub para armazenar seus módulos, administrando sua página de organização e carregando novos repositórios todos os dias, onde armazena os arquivos com as listas de seus servidores C&C que os trojans recuperam para se conectar aos seus operadores. Quando uma das palavras-chave relacionadas a serviços bancários é encontrada no dispositivo da vítima, ela imediatamente tenta recuperar os endereços de seus servidores C&C do GitHub e se conecta a eles. Essas janelas pop-up falsas são criadas dinamicamente sob demanda e controladas pelo invasor por meio de comandos. A ESET notificou o GitHub sobre essa atividade, mas até o momento da redação deste alerta, nenhuma ação havia sido executada contra a página da organização nem contra a conta do usuário.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.