Nieuwe banktrojan Janeleiro valt Braziliaanse bedrijven aan, ontdekt door ESET Research
ESET Research heeft een nieuwe banktrojan ontdekt die, sinds 2019, op Braziliaanse bedrijven doelt in sectoren zoals engineering, gezondheidszorg, detailhandel, productie, financiën, transport en overheidsinstellingen. ESET heeft deze nieuwe dreiging Janeleiro genoemd.
Het tracht zijn slachtoffers te misleiden met pop-ups die eruitzien als de websites van enkele van de grootste Braziliaanse banken. Vervolgens zet het de slachtoffers aan om hun bankgegevens en persoonlijke informatie te verstrekken. Het kan vensters op het scherm controleren, er informatie over verzamelen, chrome.exe (Google Chrome) uitschakelen, schermafbeeldingen maken, alsook keylog-toetsen en muisbewegingen controleren en het kan ook het klembord kapen om bitcoin-adressen te wijzigen in die van criminelen, en dit alles in realtime.
Voor zijn hoofdimplementatie gebruikt Janeleiro hetzelfde model als veel andere malwarefamilies zoals de coderingstaal. In Brazilië zijn alle banktrojans echter in dezelfde programmeertaal ontworpen: Delphi. Janeleiro is de eerste die gecodeerd is in .NET. Andere onderscheidende kenmerken zijn: geen verduistering of aangepaste codering en ook geen verdediging tegen beveiligingssoftware.
De meeste commando’s van Janeleiro zijn bestemd om vensters, muis en toetsenbord te controleren alsook de nep-pop-upsvensters. Volgens Facundo Muñoz, de ESET-onderzoeker die de malware ontdekte, “wordt de aard van een Janeleiro-aanval niet gekenmerkt door zijn automatiseringsmogelijkheden, maar eerder door een praktische aanpak: vaak moet de operator pop-upvensters aanpassen via commando’s uitgevoerd in realtime ”.
“Het ziet ernaar uit dat deze Trojan sinds 2018 in ontwikkeling is en dat in 2020 de orderverwerking verbeterd werd om de operator tijdens de aanval beter controle te geven”, verduidelijkt Muñoz. Hij vervolgt: “De experimentele aard van Janeleiro gaat heen en weer tussen verschillende versies en onthult een hacker die de juiste weg probeert te vinden om zijn tools te beheren, maar die geen gebrek heeft aan ervaring in het volgen van het unieke programma van tal van Zuid Amerikaanse malwarefamilies. “
Deze hacker voelt zich op zijn gemak bij het gebruik van de GitHub-repositorywebsite om zijn modules op te slaan, zijn organisatiepagina te beheren en elke dag nieuwe repositories te uploaden wanneer het de bestanden opslaat met de lijsten van zijn C & C-servers die Trojaanse paarden recupereren om verbinding te maken met hun operatoren. Als een bankgerelateerd trefwoord op de computer van een slachtoffer wordt gevonden, probeert het onmiddellijk de adressen van zijn C & C-servers vanuit GitHub op te halen en er verbinding mee te maken. Deze nep-pop-up vensters worden dynamisch op aanvraag aangemaakt en door de aanvaller via commando’s bestuurd. ESET bracht GitHub hiervan op de hoogte, maar bij het schrijven van dit bericht was nog geen actie ondernomen tegen de organisatiepagina noch het gebruikersaccount.
Voor meer technische details over Janeleiro, lees de blog “Janeleiro, the time traveler: A new old banking trojan in Brazil “ op https://www.welivesecurity.com/.
Voor de nieuwste info, volg ESET Research op Twitter – ESET Research on Twitter.
Vereenvoudigd overzicht van Janeleiro-aanvallen
