Janeleiro

Janeleiro is een banktrojan die zich richt op bedrijven en overheidsinstanties in Brazilië. Het maakt gebruik van een snelle implementatiemethode via e-mail met de nadruk op het verzamelen van gegevens door de aanvaller handmatige controle van pop-uptactieken. Gebruikers moeten voorzichtig zijn met het openen van ZIP-e-maildownloads en passende beveiligingsoplossingen voor het detecteren of verwijderen van Janeleiro behouden.

Een Trojaans paard neemt een beetje van njRAT en veel van creatieve inspiratie

Met geschatte vroege builds in 2018, heeft het tijd gekost voordat de beveiligingsindustrie Janeleiro had ingehaald - een banktrojan die qua bedoelingen niet al te veel verschilt van de Vizom Malware , Grandoreiro en andere bankrekeningen die in Brazilië actief zijn. Deze gespecialiseerde spyware is niet verlegen om technieken, code of infrastructuur van anderen te lenen. Toch is het ook een ietwat uniek, uitbundig voorbeeld van een banktrojan die 'zijn eigen weg gaat' wanneer dat nodig is.

Janeleiro bevat enkele functies van njRAT en gebruikt een ZIP-archiefbestand-gebaseerde installatiemethode die het deelt met andere banktrojanen die zich richten op Brazilië. Het gebruikt echter ook voornamelijk originele code in een onorthodoxe programmeertaal voor zijn regio en een zeer specifieke, dagelijks bijgewerkte GitHub C & C-infrastructuur. Gelukkig voor slachtoffers, laat het ook (althans in de huidige builds) alle antivirus- of antivirusfuncties achterwege, ook al kan het de processen van programma's, zoals Chrome, beëindigen.

De payload van Janeleiro doet sterk denken aan andere Trojaanse paarden die malware-analisten in Brazilië zien. Het controleert de vensters van de gebruiker op trefwoorden die verband houden met officiële banken en stelt de aanvaller op de hoogte wanneer dat nodig is. De aanvaller gebruikt op zijn beurt veelzijdige instellingen voor het besturen van dynamisch aangepaste pop-ups.

Deze pop-upvensters bootsen bankwebsites en -applicaties na en helpen de bedreigingsacteur frauduleuze transacties aan te moedigen. Ze kunnen ook gegevens verzamelen via een aantal algemene functies, zoals keylogging, het maken van schermafbeeldingen of het kapen van de invoerapparaten van de gebruiker (toetsenbord en muis).

Een infectie van korte duur met gevolgen op lange termijn

Janeleiro is wat je een 'onderhoudsarm' Trojaans paard zou kunnen noemen vanwege de functies en infrastructuur die veel aandacht vragen van de ontwikkelaars. Het meest interessante aan Janeleiro is echter het huidige implementatiemodel van de 0.0.3-build (de laatste vanaf april 2021). De codering van Janeleiro voor de tekenreeksen en Command & Control-details hangt af van de huidige datum. In de praktijk betekent deze aanpassing van de codering dat Janeleiro al zijn beoogde functies implementeert en uitvoert binnen één dag voordat hij stopt met werken (en vermoedelijk zichzelf de-installeert).

Gebruikers moeten uitkijken naar tactieken die op maat gemaakt phishing-lokaas voor hun bedrijven inhouden, samen met op maat gemaakte bankfraude-inspanningen. Op dit moment kunnen malwaredeskundigen alleen wijzen op aanvallen tegen bedrijven en overheidsinstanties. De verifieerbare doelstellingen bestaan uit verschillende sectoren zoals detailhandel, techniek, productie en financiën.

Malware-experts suggereren dat gebruikers zeer voorzichtig zijn met e-mails die lijken op mogelijk nepfacturen, cv's, zakelijke artikelen en andere zakelijke informatie om aanvallen te voorkomen. De meeste anti-malwareprogramma's, inclusief standaardoplossingen die zijn opgelegd door regionale banken, zouden Janeleiro moeten blokkeren of verwijderen.

Janeleiro werkt volgens een versnelde mentaliteit die zo ver mogelijk niet geautomatiseerd is. Hoewel GitHub de bijbehorende infrastructuur neerhaalt, is het niet waarschijnlijk dat de ontwikkelaars het verlies op zich nemen en hun illegale activiteiten staken.