Pesquisadores da ESET,
empresa líder em detecção proativa de ameaças, descobriram um novo
trojan bancário que tem como alvo os usuários corporativos no Brasil.
Nomeado pelos pesquisadores como Janeleiro,
o trojan está ativo desde, pelo menos, 2019 em muitos setores,
incluindo engenharia, saúde, varejo, indústria, finanças, transporte e
instituições governamentais.
De
acordo com a pesquisa, o Janeleiro tenta enganar suas vítimas com
janelas pop-up projetadas para se parecerem com os sites de alguns dos
maiores bancos do Brasil. Depois disso, ele faz com que as vítimas do
malware insiram suas credenciais bancárias e informações pessoais. O
Janeleiro capaz de controlar janelas na tela, coletar informações sobre
elas, matar chrome.exe (Google Chrome), fazer captura de tela, bem como
controlar teclas de keylogging, movimentos do mouse, e pode sequestrar a
área de transferência para alterar endereços de bitcoin com os de
criminosos em tempo real.
Ao
longo dos dois últimos anos, a ESET conduziu uma série de investigações
sobre famílias proeminentes de trojans bancários visando a América
Latina. O Janeleiro segue exatamente o mesmo plano para a implementação
central dessa técnica como algumas das famílias de malware mais
proeminentes que visam a região: Casbaneiro, Grandoreiro, Mekotio,
Amavaldo e Vadokrist, entre outros. No entanto, ele se diferencia dessas
famílias de várias maneiras, como na linguagem de codificação, por
exemplo. Seguindo o blueprint, os trojans bancários no Brasil são todos
codificados na mesma linguagem de programação, a Delphi. O Janeleiro é o
primeiro visto no Brasil a ser codificado em .NET. Outros recursos
distintos do malware incluem: ausência de ofuscação, ausência de
criptografia customizada e ausência de defesas contra softwares de
segurança dos dispositivos afetados.
A maioria dos comandos do Janeleiro são para o controle de janelas, mouse e teclado, e suas falsas janelas pop-up. “A
natureza de um ataque de Janeleiro não é caracterizada por suas
capacidades de automação, mas sim pela abordagem prática: em muitos
casos, o operador deve ajustar as janelas pop-up por meio de comandos
executados em tempo real”, diz o pesquisador da ESET Facundo Muñoz , que descobriu o Janeleiro.
“Parece
que o trojan bancário estava em desenvolvimento já em 2018 e, em 2020,
melhorou seu processamento de comando para dar ao operador melhor
controle durante o ataque”, acrescenta Muñoz, que continua: “O
caráter experimental do Janeleiro indo e vindo entre versões diferentes
revela um ator de ameaça que ainda está tentando encontrar a maneira
certa de gerenciar suas ferramentas, mas não é menos experiente em
seguir o projeto exclusivo de muitas famílias de malware na América
Latina”.
Curiosamente,
esse agente de ameaça se sente confortável usando o site do repositório
GitHub para armazenar seus módulos, administrando sua página de
organização e carregando novos repositórios todos os dias, onde armazena
os arquivos com as listas de seus servidores C&C que os trojans
recuperam para se conectar aos seus operadores. Quando uma das
palavras-chave relacionadas a serviços bancários é encontrada no
dispositivo da vítima, ela imediatamente tenta recuperar os endereços de
seus servidores C&C do GitHub e se conecta a eles. Essas janelas
pop-up falsas são criadas dinamicamente sob demanda e controladas pelo
invasor por meio de comandos. A ESET notificou o GitHub sobre essa
atividade, mas até o momento da redação deste alerta, nenhuma ação havia
sido executada contra a página da organização nem contra a conta do
usuário.
Com
base em dados de telemetria da ESET, é possível afirmar que esse
malware visa apenas usuários corporativos. E-mails maliciosos são
enviados para empresas no Brasil e, embora não seja comum pensar que se
tratem de ataques direcionados, eles parecem ser enviados em pequenos
lotes. Os pesquisadores também descobriram que os setores afetados são
engenharia, saúde, varejo, indústria, finanças, transporte e governo.
Um
exemplo de e-mail de phishing é o mostrado na imagem abaixo, onde se vê
uma notificação falsa sobre uma fatura não paga. Ele contém um link que
leva a um servidor comprometido. A página recuperada simplesmente
redireciona para o download de um arquivo ZIP hospedado no Azure. Alguns
outros e-mails enviados por esses invasores não têm um redirecionamento
por meio de um servidor comprometido, mas levam diretamente ao arquivo
ZIP. Os
servidores que hospedam esses arquivos ZIP com o Janeleiro têm URLs que
seguem a mesma convenção de outras URLs que vimos entregando a outras
famílias de trojans bancários. Em alguns casos, essas URLs distribuíram o
Janeleiro e outros banqueiros da Delphi em momentos diferentes. Isso
sugere que os vários grupos criminosos compartilham o mesmo provedor de
envio de e-mails de spam e de hospedagem de malware ou que são do mesmo
grupo. Os pesquisadores ainda não conseguiram determinar qual das
hipóteses é a correta com relação a isso.
Sobre a ESET
Desde
1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100
milhões de usuários a aproveitar a tecnologia com segurança. Seu
portfólio de soluções oferece às empresas e consumidores de todo o mundo
um equilíbrio perfeito entre desempenho e proteção proativa. A empresa
possui uma rede global de vendas que abrange 180 países e possui
escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do
México e São Paulo. Para mais informações, visite www.eset.com/br ou siga-nos no LinkedIn, Facebook e Twitter.
