Trojan ‘Janeleiro’ volta a atacar clientes de vários bancos no Brasil

Da Redação
11/04/2021

Um trojan ‘exótico’ reapareceu atacando clientes de quatro grandes bancos no Brasil, segundo boletim da empresa de segurança ESET: escrito em VB.Net, ao contrário da maioria, que é escrita em Delphi, ele foi batizado de “Janeleiro” e apareceu inicialmente em 2019, mas estava em desenvolvimento desde 2018, reaparecendo agora segundo os pesquisadores da empresa. Ele opera como a maioria, e abre telas de pop up de quatro bancos, com formulário para obter as credenciais do usuário: as telas trazem logotipos do Banco do Brasil, Bradesco, Santander, Itaú e Caixa Econômica Federal.

Com base em dados de telemetria, o relatório afirma que esse malware visa apenas usuários corporativos: “E-mails maliciosos são enviados para empresas no Brasil e, embora não pensemos que sejam ataques direcionados, eles parecem ser enviados em pequenos lotes. De acordo com nossa telemetria, os setores afetados são engenharia, saúde, varejo, manufatura, finanças, transporte e governo”.

Veja isso
GhostDNS coloca outra vez na mira os clientes de bancos brasileiros
IBM alerta para ataque de overlay a usuários de bancos brasileiros

Um dos truques de phishing é uma notificação falsa sobre uma fatura não paga, contendo um link que leva a um servidor comprometido: “A página recuperada simplesmente redireciona para o download de um arquivo ZIP hospedado no Azure. Alguns outros emails enviados por esses invasores não têm um redirecionamento por meio de um servidor comprometido, mas levam diretamente ao arquivo ZIP”.

O arquivo ZIP contém um instalador MSI, diz o estudo, que carrega a DLL principal: “Usar um instalador MSI é uma técnica favorita de várias famílias de malware na região. O Janeleiro recupera o endereço IP público do computador e usa um serviço da web para tentar localizá-lo geograficamente. Se o valor do código do país retornado não corresponder a BR , o malware sai. Se a verificação de geolocalização for aprovada, o trojan reúne informações da máquina comprometida, incluindo:

  • Data e hora atuais
  • Nome da máquina e nome de usuário
  • Nome completo do sistema operacional e arquitetura
  • Versão de malware
  • Nome da região obtida ao localizar geograficamente o computador

As informações são enviadas para um site com o objetivo de rastrear ataques bem-sucedidos. Depois disso, o trojan recupera os endereços IP dos servidores C&C de uma página do GitHub aparentemente criada pelo criminoso. Em seguida, está pronto para iniciar sua funcionalidade principal.

Com agências de notícias internacionais

Compartilhar: