‘Janeleiro’: novo trojan bancário coleta dados de empresas no Brasil

Empresas de diversos setores no Brasil podem estar sendo enganadas por simples janelas pop-up que surgem em seus computadores. Pesquisadores da ESET descobriram o ‘Janeleiro’, um novo trojan bancário que tem como alvo os usuários corporativos e que está ativo desde, pelo menos, 2019 em companhias de engenharia, saúde, varejo, indústria, finanças, transporte e instituições governamentais. 

De acordo com a pesquisa, o Janeleiro tenta enganar suas vítimas com janelas pop-up projetadas para se parecerem com os sites de alguns dos maiores bancos do Brasil. As vítimas então inserem suas credenciais bancárias e informações pessoais dando total controle de janelas, mouse e teclado a cibercriminosos.

O trojan pode controlar janelas na tela, coletar informações sobre elas, matar chrome.exe (Google Chrome), fazer captura de tela, bem como controlar teclas de keylogging, movimentos do mouse. E mais, pode sequestrar a área de transferência para alterar endereços de bitcoin com os de criminosos em tempo real.

Trojan ‘Janeleiro’ cria janelas pop-up parecidas com sites de bancos. Imagem: Garder Elena/Shutterstock

Famílias de trojans bancários

Ainda segundo a ESET, o Janeleiro tem o mesmo comportamento de algumas das famílias de malware mais proeminentes que visam a América Latina: Casbaneiro, Grandoreiro, Mekotio, Amavaldo e Vadokrist, entre outros.

Isso foi constatado com base em investigações feitas nos últimos dois anos sobre famílias proeminentes de trojans bancários focados na região. No entanto, o Janeleiro se diferencia dessas famílias de várias maneiras, como na linguagem de codificação, por exemplo.

Ele é o primeiro trojan visto no Brasil a ser codificado em .NET e não em Delphi, como é de costume. Outros recursos distintos do malware incluem: ausência de ofuscação, ausência de criptografia customizada e ausência de defesas contra softwares de segurança dos dispositivos afetados.

“A natureza de um ataque de Janeleiro não é caracterizada por suas capacidades de automação, mas sim pela abordagem prática: em muitos casos, o operador deve ajustar as janelas pop-up por meio de comandos executados em tempo real”, afirma o pesquisador da ESET Facundo Muñoz, que descobriu o Janeleiro.

‘Janeleiro’ é o primeiro trojan visto no Brasil a ser codificado em .NET e não em Delphi. Imagem: dencg/Shutterstock

Arquivos armazenados no GitHub

O agente de ameaça se sente confortável usando o site do repositório GitHub, comprado pela Microsoft, para armazenar seus módulos. Assim, administra sua página de organização e carrega novos repositórios diariamente, onde armazena os arquivos com as listas de seus servidores C&C que os trojans recuperam para se conectar aos seus operadores.

Leia mais:

Quando uma das palavras-chave relacionadas a serviços bancários é encontrada no dispositivo da vítima, ela imediatamente tenta recuperar os endereços de seus servidores C&C do GitHub e se conecta a eles. Essas janelas pop-up falsas são criadas dinamicamente sob demanda e controladas pelo invasor por meio de comandos.

A ESET notificou o GitHub sobre tal atividade, mas até o momento nenhuma ação foi executada contra a página da organização nem contra a conta do usuário.

Via: Convergência Digital

Esta post foi modificado pela última vez em 13 de abril de 2021 17:54

Compartilhar
Deixe seu comentário
Publicado por
Fabiana Rolfini