Trojan.Win32.Jumcar

O Trojan.Win32.Jumcar é um Trojan que rouba informações financeiras de usuários de computadores latino-americanos que usam os serviços de home banking das principais empresas do setor bancário. Destes, 90% são canalizados no Peru através de estratégias de phishing baseadas na clonagem de sites de seis bancos. O Trojan.Win32.Jumcar também pode ter como alvo dois bancos no Chile e outro na Costa Rica. O Trojan.Win32.Jumcar se propaga através de e-mails de spam vinculados a uma forte engenharia social visual baseada em mensagens falsificadas. O Trojan.Win32.Jumcar é desenvolvido em .NET, enquanto o padrão usual em torno de malware desenvolvido na América Latina (excluindo o Brasil) está desenvolvendo projetos mal-intencionados no VisualBasic.

Da mesma forma, e ao contrário de padrões comuns em malware latino-americano que ofusquem parte de seu código por meio de conversões hexadecimais simples, o Trojan.Win32.Jumcar usa algoritmos criptográficos simétricos e assimétricos para disfarçar a funcionalidade indicada no código-fonte. Para isso, o Trojan.Win32.Jumcar usa as classes System.Security.Cryptography.TripleDES, System.Security.Cryptography.Aes e System.Security.Cryptography.RSA. O Trojan.Win32.Jumcar é entregue via e-mail de spam (supostamente proveniente de bancos peruanos) ou por ataques de engenharia social. A estratégia de engenharia social depende da imagem do Facebook na mensagem de e-mail e no nome do arquivo baixado, por exemplo, 'facebook.exe'. O Trojan.Win32.Jumcar também pode proliferar através de sites invadidos.