Janeleiro

Janeleiro è un trojan bancario che prende di mira entità aziendali e governative in Brasile. Utilizza un metodo di distribuzione rapida tramite posta elettronica con enfasi sulla raccolta di dati tramite il controllo manuale delle tattiche pop-up da parte dell'aggressore. Gli utenti dovrebbero essere cauti nell'aprire i download di posta elettronica ZIP e mantenere soluzioni di sicurezza appropriate per rilevare o rimuovere Janeleiro.

Un Trojan prende un po 'da njRAT e molto dall'ispirazione creativa

Con le prime build stimate nel 2018, il settore della sicurezza ha impiegato del tempo per mettersi al passo con Janeleiro, un trojan bancario non troppo diverso nelle intenzioni da Vizom Malware, Grandoreiro e altri ladri di conti bancari che operano in Brasile. Questo spyware specializzato non esita a prendere in prestito tecniche, codice o infrastruttura da altri. Tuttavia, è anche un esempio in qualche modo unico e rivoluzionario di un Trojan bancario che "va per la sua strada" quando necessario.

Janeleiro include alcune funzioni di njRAT e utilizza un metodo di installazione basato su file di archivio ZIP che condivide con altri trojan bancari destinati al Brasile. Tuttavia, utilizza principalmente codice originale in un linguaggio di programmazione non ortodosso per la sua regione e un'infrastruttura GitHub C&C altamente specifica e aggiornata quotidianamente. Fortunatamente per le vittime, omette anche (almeno, nelle build attuali) qualsiasi funzionalità anti-virus o anti-sicurezza, anche se può terminare i processi dei programmi, come Chrome.

Il payload di Janeleiro ricorda molto altri trojan che gli analisti di malware vedono in Brasile. Controlla le finestre dell'utente per le parole chiave relative alle banche ufficiali e avvisa l'aggressore quando appropriato. L'attaccante, a sua volta, utilizza impostazioni sfaccettate per controllare i popup regolati dinamicamente.

Queste finestre pop-up imitano i siti Web e le applicazioni bancarie, aiutando l'attore della minaccia a incoraggiare le transazioni fraudolente. Possono anche raccogliere dati attraverso alcune funzionalità generiche, come il keylogging, l'acquisizione di schermate o il dirottamento dei dispositivi di input dell'utente (tastiera e mouse).

Un'infezione a breve termine con conseguenze a lungo termine

Janeleiro è quello che si potrebbe chiamare un Trojan "ad alta manutenzione" grazie alle funzionalità e all'infrastruttura che richiedono un'attenzione significativa da parte dei suoi sviluppatori. Tuttavia, l'aspetto più interessante di Janeleiro è l'attuale modello di distribuzione della sua build 0.0.3 (l'ultima ad aprile 2021). La crittografia di Janeleiro per le sue stringhe e i dettagli di Command & Control dipende dalla data corrente. In pratica, questo tweak di codifica significa che Janeleiro distribuisce ed esegue tutte le funzioni previste entro un solo giorno prima di cessare le operazioni (e, presumibilmente, disinstallare se stesso).

Gli utenti dovrebbero essere alla ricerca di tattiche che implichino esche di phishing personalizzate per le loro aziende, insieme a tentativi di frode bancaria altrettanto personalizzati. Al momento, gli esperti di malware possono solo segnalare attacchi contro entità aziendali e governative. Gli obiettivi verificabili sono costituiti da settori così diversi come vendita al dettaglio, ingegneria, produzione e finanza.

Gli esperti di malware suggeriscono agli utenti di essere molto cauti nei confronti di e-mail simili a fatture, curriculum, articoli aziendali e altre informazioni aziendali potenzialmente falsi per prevenire gli attacchi. La maggior parte delle utilità anti-malware, comprese le soluzioni predefinite imposte dalle banche regionali, dovrebbero bloccare o eliminare Janeleiro.

Janeleiro opera con una mentalità accelerata che è il più possibile automatizzata. Sebbene GitHub stia eliminando l'infrastruttura ad esso associata, è improbabile che i suoi sviluppatori si assumano la perdita e interrompano le loro attività illecite.

Tendenza

I più visti

Caricamento in corso...