Janeleiro

Um novo Trojan bancário chamado Janeleiro foi detectado pelos pesquisadores de segurança cibernética. A campanha de ataque que entrega a ameaça está ativa desde pelo menos 2019 e tem como alvo entidades corporativas do Brasil em uma ampla gama de setores da indústria - do governo, saúde e engenharia a transporte, finanças e varejo. O primeiro passo na cadeia de ataques que elimina a ameaça Janeleiro, em última instância, é a distribuição de emails de phishing.

Os e-mails não são tão direcionados quanto aqueles observados em operações de spear-phishing, mas também não são disseminados indiscriminadamente. Parece que o agente da ameaça está liberando as mensagens de phishing em pequenos lotes. Algumas das mensagens falsas fingem que o usuário tem uma fatura não paga. Um link fornecido levará o usuário a um servidor comprometido e um arquivo ZIP corrompido será baixado. Em alguns casos, o link ignorou o redirecionamento para o servidor comprometido e iniciou o download do arquivo ZIP diretamente.

Janeleiro - Uma Antiga Funcionalidade Aliada a Novos Truques

À primeira vista, o Trojan bancário Janeleiro pode parecer apenas mais uma ameaça seguindo as convenções estabelecidas na região. Na verdade, a funcionalidade central do Janeleiro é idêntica às outras famílias proeminentes de Trojans bancários, como o Casbaneiro, Mekoito, Grandoreiro , Amavado, Vadokrist e outros. A ameaça visa coletar as credenciais bancárias do usuário, tendo como alvo os maiores bancos do Brasil. Sempre que o usuário abre um site, o Janeleiro compara as palavras-chave com uma lista pré-determinada. Encontrar uma correspondência fará com que o Janeleiro gere uma janela pop-up que imita o site oficial da instituição bancária visitada. Quando os usuários inserem suas credenciais no formulário falso, os dados são capturados e exfiltrados para o servidor de Comando e Controle (C2, C&C) da operação.

Aprofundar um pouco mais, no entanto, revela alguns desvios notáveis da fórmula estabelecida. Em primeiro lugar, o Janeleiro é escrito em Visual Basic .NET e não na linguagem de programação Delphi, a escolha preferida dos agentes de ameaças da região. A ameaça não emprega nenhuma técnica de ofuscação complexa ou rotinas de criptografia personalizadas e não executa verificações de produtos de segurança.

As Versões Mais Recentes do Janeleiro Funcionam por um Único Dia

Nas versões mais recentes da ameaça, os pesquisadores de infosec notaram uma implementação bastante nova do recurso de criptografia/descriptografia que utiliza a biblioteca de código aberto EncryptDecryptUtils. Para criar a sua chave de descriptografia, o Janeleiro criptografa uma string resultante da data atual e a usa como senha e valor de sal para a descriptografia. Na prática, isso significa que a ameaça só pode descriptografar suas sequências nessa data precisa, pois em qualquer outro dia a descriptografia iria falhar.

Além da sua funcionalidade central de ameaça, outra importante sobreposição entre o Janeleiro e as campanhas realizadas anteriormente é o uso da mesma infraestrutura. Por exemplo, observou-se que URLs que fornecem Janeleiro atualmente foram associados a outras famílias de Trojans bancários no passado. Se isso for um sinal de que o mesmo grupo é responsável por todas as ameaças ou de que existe um único fornecedor conduzindo campanhas de e-mail de spam para diferentes grupos de hackers, não pode ser determinado com as evidências atualmente disponíveis.