book_icon

Trojan bancário descoberto pela ESET tem como alvo usuários corporativos

Batizado de Janeleiro, o malware tenta enganar suas vítimas com janelas pop-up projetadas para se parecerem com os sites de alguns dos maiores bancos brasileiros

Pesquisadores da ESET, empresa especializada em detecção proativa de ameaças, descobriram um novo trojan bancário que tem como alvo os usuários corporativos no Brasil. Nomeado pelos pesquisadores como Janeleiro, o trojan está ativo desde, pelo menos, 2019 em muitos setores, incluindo engenharia, saúde, varejo, indústria, finanças, transporte e instituições governamentais.

De acordo com a pesquisa, o Janeleiro tenta enganar suas vítimas com janelas pop-up projetadas para se parecerem com os sites de alguns dos maiores bancos do Brasil. Depois disso, ele faz com que as vítimas do malware insiram suas credenciais bancárias e informações pessoais. O Janeleiro capaz de controlar janelas na tela, coletar informações sobre elas, matar chrome.exe (Google Chrome), fazer captura de tela, bem como controlar teclas de keylogging, movimentos do mouse, e pode sequestrar a área de transferência para alterar endereços de bitcoin com os de criminosos em tempo real.

 Um exemplo de e-mail de phishing é quando o usuário recebe uma notificação falsa sobre uma fatura não paga

Ao longo dos dois últimos anos, a ESET conduziu uma série de investigações sobre famílias proeminentes de trojans bancários visando a América Latina. O Janeleiro segue exatamente o mesmo plano para a implementação central dessa técnica como algumas das famílias de malware mais proeminentes que visam a região: Casbaneiro, Grandoreiro, Mekotio, Amavaldo e Vadokrist, entre outros. No entanto, ele se diferencia dessas famílias de várias maneiras, como na linguagem de codificação, por exemplo. Seguindo o blueprint, os trojans bancários no Brasil são todos codificados na mesma linguagem de programação, a Delphi. O Janeleiro é o primeiro visto no Brasil a ser codificado em .NET. Outros recursos distintos do malware incluem: ausência de ofuscação, ausência de criptografia customizada e ausência de defesas contra softwares de segurança dos dispositivos afetados.

A maioria dos comandos do Janeleiro são para o controle de janelas, mouse e teclado, e suas falsas janelas pop-up. “A natureza de um ataque de Janeleiro não é caracterizada por suas capacidades de automação, mas sim pela abordagem prática. Em muitos casos, o operador deve ajustar as janelas pop-up por meio de comandos executados em tempo real”, diz o pesquisador da ESET Facundo Muñoz , que descobriu o Janeleiro.

“Parece que o trojan bancário estava em desenvolvimento já em 2018 e, em 2020, melhorou seu processamento de comando para dar ao operador melhor controle durante o ataque”, acrescenta Muñoz, que continua: “O caráter experimental do Janeleiro indo e vindo entre versões diferentes revela um ator de ameaça que ainda está tentando encontrar a maneira certa de gerenciar suas ferramentas, mas não é menos experiente em seguir o projeto exclusivo de muitas famílias de malware na América Latina”.

E-mails maliciosos

Curiosamente, esse agente de ameaça se sente confortável usando o site do repositório GitHub para armazenar seus módulos, administrando sua página de organização e carregando novos repositórios todos os dias, onde armazena os arquivos com as listas de seus servidores C&C que os trojans recuperam para se conectar aos seus operadores. Quando uma das palavras-chave relacionadas a serviços bancários é encontrada no dispositivo da vítima, ela imediatamente tenta recuperar os endereços de seus servidores C&C do GitHub e se conecta a eles. Essas janelas pop-up falsas são criadas dinamicamente sob demanda e controladas pelo invasor por meio de comandos. A ESET notificou o GitHub sobre essa atividade, mas até o momento da redação deste alerta, nenhuma ação havia sido executada contra a página da organização nem contra a conta do usuário.

Com base em dados de telemetria da ESET, é possível afirmar que esse malware visa apenas usuários corporativos. E-mails maliciosos são enviados para empresas no Brasil e, embora não seja comum pensar que se tratem de ataques direcionados, eles parecem ser enviados em pequenos lotes. Os pesquisadores também descobriram que os setores afetados são engenharia, saúde, varejo, indústria, finanças, transporte e governo.

Um exemplo de e-mail de phishing é quando o usuário recebe uma notificação falsa sobre uma fatura não paga. Ele contém um link que leva a um servidor comprometido. A página recuperada simplesmente redireciona para o download de um arquivo ZIP hospedado no Azure. Alguns outros e-mails enviados por esses invasores não têm um redirecionamento por meio de um servidor comprometido, mas levam diretamente ao arquivo ZIP.

Os servidores que hospedam esses arquivos ZIP com o Janeleiro têm URLs que seguem a mesma convenção de outras URLs que vimos entregando a outras famílias de trojans bancários. Em alguns casos, essas URLs distribuíram o Janeleiro e outros banqueiros da Delphi em momentos diferentes. Isso sugere que os vários grupos criminosos compartilham o mesmo provedor de envio de e-mails de spam e de hospedagem de malware ou que são do mesmo grupo. Os pesquisadores ainda não conseguiram determinar qual das hipóteses é a correta com relação a isso.

Serviço: www.eset.com/br

 

ESET

Janeleiro

Keylogging

malware

trojan

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

CAPA | TENDÊNCIAS

Tecnologias imersivas ganham impulso nos negócios

Leia nessa edição sobre carreira

INDÚSTRIA 4.0

Fábrica conectada

Leia nessa edição sobre setorial | saúde

SERVIÇOS

Trunfos dos menores

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

TENDÊNCIAS

A casa também foi para a Nuvem

Julho| 2021 | #48 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento