Janeleiro

Janeleiro est un cheval de Troie bancaire qui cible les entreprises et les entités gouvernementales au Brésil. Il utilise une méthode de déploiement rapide par e-mail en mettant l'accent sur la collecte de données via le contrôle manuel de l'attaquant des tactiques contextuelles. Les utilisateurs doivent être prudents lors de l'ouverture de téléchargements d'e-mails ZIP et conserver les solutions de sécurité appropriées pour détecter ou supprimer Janeleiro.

Un cheval de Troie prend un peu de njRAT et beaucoup d'inspiration créative

Avec les premières versions estimées en 2018, il a fallu du temps au secteur de la sécurité pour rattraper Janeleiro - un cheval de Troie bancaire pas trop différent dans les intentions de Vizom Malware, Grandoreiro et d'autres voleurs de comptes bancaires opérant au Brésil. Ce logiciel espion spécialisé n'hésite pas à emprunter des techniques, du code ou des infrastructures à d'autres. Pourtant, il s'agit également d'un exemple assez unique de cheval de Troie bancaire qui "suit sa propre voie'' lorsque cela est nécessaire.

Janeleiro inclut certaines fonctions de njRAT et utilise une méthode d'installation basée sur un fichier d'archive ZIP qu'il partage avec d'autres chevaux de Troie bancaires ciblant le Brésil. Cependant, il utilise également principalement du code original dans un langage de programmation peu orthodoxe pour sa région et une infrastructure GitHub C&C très spécifique et mise à jour quotidiennement. Heureusement pour les victimes, il omet également (du moins, dans les versions actuelles) toutes les fonctionnalités anti-virus ou anti-sécurité, même s'il peut mettre fin aux processus de programmes, tels que Chrome.

La charge utile de Janeleiro rappelle beaucoup d'autres chevaux de Troie que les analystes de logiciels malveillants voient au Brésil. Il surveille les fenêtres de l'utilisateur pour les mots-clés liés aux banques officielles et avertit l'attaquant le cas échéant. L'attaquant, à son tour, utilise des paramètres multiformes pour contrôler les fenêtres contextuelles ajustées de manière dynamique.

Ces fenêtres contextuelles imitent les sites Web et les applications bancaires, aidant ainsi le menaçant à encourager les transactions frauduleuses. Ils peuvent également collecter des données via certaines fonctionnalités à usage général, telles que l'enregistrement au clavier, la prise de captures d'écran ou le détournement des périphériques d'entrée de l'utilisateur (clavier et souris).

Une infection à court terme avec des conséquences à long terme

Janeleiro est ce que l'on pourrait appeler un cheval de Troie "nécessitant beaucoup de maintenance'' en raison de ses fonctionnalités et de son infrastructure qui nécessitent une attention particulière de la part de ses développeurs. Cependant, le plus intéressant à propos de Janeleiro est le modèle de déploiement actuel de sa version 0.0.3 (la dernière en date d'avril 2021). Le cryptage de Janeleiro pour ses chaînes et les détails de Command & Control dépend de la date actuelle. En pratique, cette modification de codage signifie que Janeleiro déploie et exécute toutes ses fonctions prévues en un seul jour avant de cesser ses opérations (et, vraisemblablement, de se désinstaller).

Les utilisateurs doivent être à l'affût des tactiques qui impliquent des leurres de phishing personnalisés pour leurs entreprises, ainsi que des efforts de fraude bancaire tout aussi personnalisés. Pour le moment, les experts en malwares ne peuvent signaler que des attaques contre des entreprises et des entités gouvernementales. Les objectifs vérifiables comprennent différents secteurs tels que la vente au détail, l'ingénierie, la fabrication et la finance.

Les experts en logiciels malveillants suggèrent aux utilisateurs d'être très prudents avec les e-mails ressemblant à de fausses factures, CV, articles commerciaux et autres informations commerciales pour éviter les attaques. La plupart des utilitaires anti-malware, y compris les solutions par défaut mandatées par les banques régionales, devraient bloquer ou supprimer Janeleiro.

Janeleiro opère sur une mentalité accélérée qui est aussi loin que possible d'automatiser. Bien que GitHub supprime l'infrastructure qui lui est associée, ses développeurs ne sont pas susceptibles de prendre la perte et d'arrêter leur activité illicite.