Ερευνητές ασφαλείας της ESET ανακάλυψαν ένα νέο banking Trojan, με το όνομα Janeleiro, το οποίο στοχεύει οργανισμούς και κυβερνητικές υπηρεσίες στη Βραζιλία.
Το Janeleiro Trojan φαίνεται να επικεντρώνεται στη Βραζιλία και έχει χρησιμοποιηθεί σε κυβερνοεπιθέσεις εναντίον οργανισμών σε κλάδους, όπως η υγειονομική περίθαλψη, η μηχανική, η λιανική πώληση και η οικονομία. Οι εγκληματίες πίσω από το malware έχουν προσπαθήσει να το χρησιμοποιήσουν και για την παραβίαση κυβερνητικών συστημάτων.
Σύμφωνα με τους ερευνητές της ESET, το Janeleiro Trojan είναι παρόμοιο με άλλα trojans που χρησιμοποιούνται στη χώρα, όπως το Casbaneiro, το Grandoreiro και το Mekotio, αλλά είναι το πρώτο που είναι γραμμένο σε .NET, αντί για Delphi, που είναι το συνηθισμένο.
Το trojan διανέμεται μέσω phishing emails, που αποστέλλονται σε εταιρικούς στόχους και λένε ότι σχετίζονται με μη πληρωμένα τιμολόγια. Αυτά τα μηνύματα περιέχουν συνδέσμους προς παραβιασμένους servers και οδηγούν στη λήψη ενός αρχείου .zip που φιλοξενείται στο cloud. Εάν το θύμα κάνει unzip αυτό το archive file, ένα Windows-based MSI installer φορτώνει το κύριο Trojan DLL.
“Σε ορισμένες περιπτώσεις, αυτά τα URL διανέμουν τόσο το Janeleiro όσο και άλλα trojans σε διαφορετικές χρονικές στιγμές“, λέει η ESET. “Αυτό υποδηλώνει ότι είτε οι διάφορες εγκληματικές ομάδες μοιράζονται τον ίδιο πάροχο για την αποστολή spam emails και για τη φιλοξενία του κακόβουλου λογισμικού τους, είτε ότι είναι η ίδια ομάδα πίσω από όλα τα trojans. Δεν έχουμε ακόμη προσδιορίσει ποια υπόθεση είναι σωστή“.
Το Janeleiro Trojan ελέγχει πρώτα τη γεωγραφική τοποθεσία του στόχου. Εάν ο κωδικός χώρας είναι διαφορετικός από αυτόν της Βραζιλίας, το κακόβουλο λογισμικό σταματά. Ωστόσο, εάν δει ότι ο στόχος βρίσκεται στη Βραζιλία, το κακόβουλο λογισμικό θα συλλέξει μια σειρά δεδομένων λειτουργικού συστήματος και θα πάρει τη διεύθυνση του command-and-control (C2) server από ένα dedicated GitHub page.
Το Janeleiro χρησιμοποιείται για τη δημιουργία ψεύτικων pop-up παραθύρων που έχουν σχεδιαστεί με τέτοιο τρόπο, ώστε να φαίνεται ότι προέρχονται από μερικές από τις μεγαλύτερες τράπεζες σε ολόκληρη τη Βραζιλία και ζητούν την εισαγωγή προσωπικών και τραπεζικών στοιχείων από τα θύματα.
Το banking trojan έχει διάφορες δυνατότητες, συμπεριλαμβανομένης της συλλογής clipboard data, του keylogging, της καταγραφής οθόνης κλπ.
Από τον Μάρτιο, έχουν εντοπιστεί τέσσερις παραλλαγές του Janeleiro, αν και οι δύο έχουν τον ίδιο εσωτερικό version number. Ορισμένα δείγματα έχουν συνδυαστεί με ένα password stealer, κάτι που υποδηλώνει ότι “η ομάδα πίσω από το Janeleiro έχει κι άλλα εργαλεία στο οπλοστάσιό της“, σύμφωνα με τους ερευνητές.
Σύμφωνα με την ESET οι χειριστές του malware χρησιμοποιούν το GitHub, το οποίο έχει ενημερωθεί για τον λογαριασμό των hackers και την κατάχρηση της πλατφόρμας. Η σελίδα έχει πλέον απενεργοποιηθεί και ο κάτοχος έχει τεθεί σε αναστολή.
“Το GitHub εκτιμά τις συνεισφορές της ερευνητικής μας κοινότητας και δεσμεύεται να διερευνήσει αναφερόμενα ζητήματα ασφαλείας“, δήλωσε εκπρόσωπος του GitHub στο ZDNet. “Απενεργοποιήσαμε τη σελίδα σύμφωνα με τις Πολιτικές μας για την αποδεκτή χρήση, μετά την αναφορά ότι η πλατφόρμα μας χρησιμοποιούνταν για κακόβουλους σκοπούς“.
Πηγή: ZDNet