Brasil,

TOKIO MARINE SEGURADORA

Pesquisadores da ESET descobrem novo trojan bancário que afeta usuários corporativos no Brasil

Pesquisadores da ESET descobrem novo trojan bancário que afeta usuários corporativos no Brasil

ESET traz nova edição de conferência online e gratuita para promover a sensibilização sobre segurança da informação a nível corporativo na América Latina

Pesquisadores da ESET, empresa líder em detecção proativa de ameaças, descobriram um novo trojan bancário que tem como alvo os usuários corporativos no Brasil. Nomeado pelos pesquisadores como Janeleiro, o trojan está ativo desde, pelo menos, 2019 em muitos setores, incluindo engenharia, saúde, varejo, indústria, finanças, transporte e instituições governamentais.

De acordo com a pesquisa, o Janeleiro tenta enganar suas vítimas com janelas pop-up projetadas para se parecerem com os sites de alguns dos maiores bancos do Brasil. Depois disso, ele faz com que as vítimas do malware insiram suas credenciais bancárias e informações pessoais. O Janeleiro capaz de controlar janelas na tela, coletar informações sobre elas, matar chrome.exe (Google Chrome), fazer captura de tela, bem como controlar teclas de keylogging, movimentos do mouse, e pode sequestrar a área de transferência para alterar endereços de bitcoin com os de criminosos em tempo real.

Ao longo dos dois últimos anos, a ESET conduziu uma série de investigações sobre famílias proeminentes de trojans bancários visando a América Latina. O Janeleiro segue exatamente o mesmo plano para a implementação central dessa técnica como algumas das famílias de malware mais proeminentes que visam a região: Casbaneiro, Grandoreiro, Mekotio, Amavaldo e Vadokrist, entre outros. No entanto, ele se diferencia dessas famílias de várias maneiras, como na linguagem de codificação, por exemplo. Seguindo o blueprint, os trojans bancários no Brasil são todos codificados na mesma linguagem de programação, a Delphi. O Janeleiro é o primeiro visto no Brasil a ser codificado em .NET. Outros recursos distintos do malware incluem: ausência de ofuscação, ausência de criptografia customizada e ausência de defesas contra softwares de segurança dos dispositivos afetados.

A maioria dos comandos do Janeleiro são para o controle de janelas, mouse e teclado, e suas falsas janelas pop-up. “A natureza de um ataque de Janeleiro não é caracterizada por suas capacidades de automação, mas sim pela abordagem prática: em muitos casos, o operador deve ajustar as janelas pop-up por meio de comandos executados em tempo real”, diz o pesquisador da ESET Facundo Muñoz , que descobriu o Janeleiro.

“Parece que o trojan bancário estava em desenvolvimento já em 2018 e, em 2020, melhorou seu processamento de comando para dar ao operador melhor controle durante o ataque”, acrescenta Muñoz, que continua: “O caráter experimental do Janeleiro indo e vindo entre versões diferentes revela um ator de ameaça que ainda está tentando encontrar a maneira certa de gerenciar suas ferramentas, mas não é menos experiente em seguir o projeto exclusivo de muitas famílias de malware na América Latina”.

Curiosamente, esse agente de ameaça se sente confortável usando o site do repositório GitHub para armazenar seus módulos, administrando sua página de organização e carregando novos repositórios todos os dias, onde armazena os arquivos com as listas de seus servidores C&C que os trojans recuperam para se conectar aos seus operadores. Quando uma das palavras-chave relacionadas a serviços bancários é encontrada no dispositivo da vítima, ela imediatamente tenta recuperar os endereços de seus servidores C&C do GitHub e se conecta a eles. Essas janelas pop-up falsas são criadas dinamicamente sob demanda e controladas pelo invasor por meio de comandos. A ESET notificou o GitHub sobre essa atividade, mas até o momento da redação deste alerta, nenhuma ação havia sido executada contra a página da organização nem contra a conta do usuário.

Visão geral do ataque do Janeleiro (simplificado)

Com base em dados de telemetria da ESET, é possível afirmar que esse malware visa apenas usuários corporativos. E-mails maliciosos são enviados para empresas no Brasil e, embora não seja comum pensar que se tratem de ataques direcionados, eles parecem ser enviados em pequenos lotes. Os pesquisadores também descobriram que os setores afetados são engenharia, saúde, varejo, indústria, finanças, transporte e governo.

Um exemplo de e-mail de phishing é o mostrado na imagem abaixo, onde se vê uma notificação falsa sobre uma fatura não paga. Ele contém um link que leva a um servidor comprometido. A página recuperada simplesmente redireciona para o download de um arquivo ZIP hospedado no Azure. Alguns outros e-mails enviados por esses invasores não têm um redirecionamento por meio de um servidor comprometido, mas levam diretamente ao arquivo ZIP.

Exemplo de e-mail malicioso enviado às vítimas

Os servidores que hospedam esses arquivos ZIP com o Janeleiro têm URLs que seguem a mesma convenção de outras URLs que vimos entregando a outras famílias de trojans bancários. Em alguns casos, essas URLs distribuíram o Janeleiro e outros banqueiros da Delphi em momentos diferentes. Isso sugere que os vários grupos criminosos compartilham o mesmo provedor de envio de e-mails de spam e de hospedagem de malware ou que são do mesmo grupo. Os pesquisadores ainda não conseguiram determinar qual das hipóteses é a correta com relação a isso.

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite www.eset.com/br ou siga-nos no LinkedIn, Facebook e Twitter.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Adicionar comentário

Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!


voltar ao topo