Llegamos a ustedes gracias a:



Alertas de Seguridad

ESET Research descubre a Janeleiro

Un nuevo troyano bancario

[07/04/2021] ESET Research ha descubierto un nuevo troyano bancario que ha estado atacando a usuarios corporativos en Brasil desde al menos el 2019 a través de muchos sectores, incluyendo ingeniería, salud, comercio minorista, fabricación, finanzas, transporte e instituciones gubernamentales. ESET ha bautizado la nueva amenaza como Janeleiro.

"Intenta engañar a sus víctimas con ventanas emergentes diseñadas para parecer los sitios web de algunos de los bancos más grandes de Brasil. Después, engaña a las víctimas del malware para que introduzcan sus credenciales bancarias e información personal. Es capaz de controlar las ventanas en pantalla, recopilando información sobre ellas, matando a chrome.exe (Google Chrome), capturando la pantalla, así como registrando las teclas de control, los movimientos del ratón, y puede secuestrar el portapapeles para cambiar las direcciones de bitcoin con las de los delincuentes en tiempo real, comentó el investigador de ESET, Facundo Muñoz, que descubrió Janeleiro.

A lo largo de 2020-2021, ESET ha estado llevando a cabo una serie de investigaciones sobre destacadas familias de malware de troyanos bancarios dirigidas a América Latina. "Janeleiro sigue el mismo esquema para su implementación central que muchas otras familias de malware que apuntan a Brasil. Sin embargo, se diferencia de esas familias en varios aspectos, como el lenguaje de codificación. Siguiendo el modelo, los troyanos bancarios en Brasil están codificados en el mismo lenguaje de programación, Delphi, Janeleiro es el primero visto en Brasil que está codificado en .NET. Otros rasgos distintivos son: no hay ofuscación, ni encriptación personalizada, ni defensas contra el software de seguridad, anotó el investigador. 

Agregó que, la mayoría de los comandos de Janeleiro son para el control de las ventanas, el mouse y el teclado, y sus falsas ventanas emergentes. "La naturaleza de un ataque de Janeleiro no se caracteriza por sus capacidades de automatización, sino por el enfoque práctico: en muchos casos, el operador debe ajustar las ventanas emergentes a través de comandos ejecutados en tiempo real". 

"Parece que el troyano bancario estaba en desarrollo ya en el 2018, y en el 2020, mejoró su procesamiento de comandos para dar al operador un mejor control durante el ataque", indicó Muñoz. "La naturaleza experimental de Janeleiro yendo y viniendo entre diferentes versiones revela a un actor de amenazas que todavía está tratando de encontrar la manera correcta de manejar sus herramientas, pero no es menos experimentado en seguir el plan único de muchas familias de malware en América Latina".

Señaló, asimismo que, curiosamente, este actor de amenazas se siente cómodo utilizando el sitio web de repositorios GitHub para almacenar sus módulos, administrando su página de organización y subiendo nuevos repositorios cada día donde almacena los archivos con las listas de sus servidores de C&C que los troyanos recuperan para conectarse con sus operadores. "Cuando se encuentra una de las palabras clave relacionadas con la banca en la máquina de la víctima, inmediatamente intenta recuperar las direcciones de sus servidores de C&C de GitHub y se conecta a ellos. Estas falsas ventanas emergentes se crean dinámicamente bajo demanda y son controladas por el atacante mediante comandos. ESET ha notificado a GitHub de esta actividad, pero en el momento de escribir este artículo, no se han tomado medidas contra la página de la organización ni contra la cuenta del usuario, sostuvo Muñoz.