Janeleiro

Janeleiro to trojan bankowy, który atakuje podmioty biznesowe i rządowe w Brazylii. Wykorzystuje metodę szybkiego wdrażania za pośrednictwem poczty e-mail, z naciskiem na zbieranie danych poprzez ręczne sterowanie taktyką wyskakujących okienek przez atakującego. Użytkownicy powinni zachować ostrożność podczas otwierania pobranych wiadomości e-mail ZIP i stosować odpowiednie rozwiązania zabezpieczające do wykrywania lub usuwania Janeleiro.

Trojan bierze trochę z njRAT i dużo z kreatywnej inspiracji

Z szacowanymi wczesnymi kompilacjami w 2018 r., Potrzebowało czasu, aby branża bezpieczeństwa dogoniła Janeleiro - trojana bankowego, który nie różni się zbytnio intencjami od Vizom Malware, Grandoreiro i innych złodziei kont bankowych działających w Brazylii. To wyspecjalizowane oprogramowanie szpiegujące nie boi się pożyczać technik, kodu lub infrastruktury od innych. Mimo to jest to również nieco wyjątkowy, przełomowy przykład trojana bankowego, który „idzie własną drogą", gdy jest to konieczne.

Janeleiro zawiera niektóre funkcje z njRAT i używa metody instalatora opartej na pliku archiwum ZIP, którą dzieli z innymi trojanami bankowymi atakującymi Brazylię. Jednak używa również przede wszystkim oryginalnego kodu w niekonwencjonalnym języku programowania dla swojego regionu oraz wysoce specyficznej, codziennie aktualizowanej infrastruktury GitHub C&C. Na szczęście dla ofiar pomija również (przynajmniej w obecnych kompilacjach) wszelkie funkcje antywirusowe lub zabezpieczające, mimo że może przerywać procesy programów, takie jak Chrome.

Ładunek Janeleiro bardzo przypomina inne trojany, które analitycy złośliwego oprogramowania widzą w Brazylii. Monitoruje okna użytkownika pod kątem słów kluczowych związanych z oficjalnymi bankami i powiadamia atakującego w razie potrzeby. Atakujący z kolei wykorzystuje wielopłaszczyznowe ustawienia do kontrolowania dynamicznie dostosowywanych wyskakujących okienek.

Te wyskakujące okienka imitują strony internetowe i aplikacje bankowe, pomagając hakerowi zachęcać do nieuczciwych transakcji. Mogą również gromadzić dane za pomocą niektórych funkcji ogólnego przeznaczenia, takich jak keylogging, robienie zrzutów ekranu lub przechwytywanie urządzeń wejściowych użytkownika (klawiatura i mysz).

Infekcja, która jest krótkotrwała i ma długoterminowe konsekwencje

Janeleiro jest tym, co można by nazwać trojanem „wymagającym dużej konserwacji", ponieważ posiada funkcje i infrastrukturę, które wymagają znacznej uwagi ze strony jego twórców. Jednak najciekawszy w Janeleiro jest obecny model wdrażania wersji 0.0.3 (najnowszy z kwietnia 2021 r.). Szyfrowanie Janeleiro dla swoich ciągów i szczegółów Command & Control zależy od aktualnej daty. W praktyce ta poprawka w kodowaniu oznacza, że Janeleiro wdraża i wykonuje wszystkie swoje zamierzone funkcje w ciągu jednego dnia przed zaprzestaniem operacji (i prawdopodobnie odinstalowaniem się).

Użytkownicy powinni zwracać uwagę na taktyki, które obejmują spreparowane przynęty phishingowe dla ich firm, a także równie spersonalizowane działania związane z oszustwami bankowymi. W tej chwili eksperci od szkodliwego oprogramowania mogą wskazywać tylko na ataki na podmioty biznesowe i rządowe. Weryfikowalne cele obejmują różne sektory, takie jak handel detaliczny, inżynieria, produkcja i finanse.

Eksperci od złośliwego oprogramowania sugerują, że użytkownicy zachowują dużą ostrożność w stosunku do wiadomości e-mail przypominających potencjalnie fałszywe faktury, życiorysy, artykuły biznesowe i inne informacje biznesowe w celu zapobiegania atakom. Większość narzędzi do ochrony przed złośliwym oprogramowaniem, w tym domyślnych rozwiązań zalecanych przez banki regionalne, powinna blokować lub usuwać Janeleiro.

Janeleiro działa na zasadzie szybkiej ścieżki, która jest tak daleka od automatyzacji, jak to tylko możliwe. Chociaż GitHub rozbiera powiązaną z nim infrastrukturę, jego programiści prawdopodobnie nie poniosą straty i zaprzestaną nielegalnej działalności.