Novo trojan bancário 'Janeleiro' ataca usuários no Brasil

1 min de leitura
Imagem de: Novo trojan bancário 'Janeleiro' ataca usuários no Brasil
Imagem: Avast
Avatar do autor

A ESET, empresa de segurança digital, acaba de descobrir um cavalo de Troia que, embora existente desde 2019, tem atacado atualmente usuários corporativos no Brasil em diversos setores de atividade, como engenharia, saúde, varejo, manufatura, finanças, transportes e governo.

Batizado pelos pesquisadores como “Janeleiro”, o malware engana suas vítimas utilizando janelas pop-up semelhantes aos sites de alguns dos maiores bancos do
Brasil. Através de formulários falsos, as próprias empresas inserem suas credenciais bancárias e informações pessoais.

O Janeleiro consegue controlar janelas na tela, coletar informações sobre elas, desativar o Google Chrome, capturar telas, gravar digitação (keylogging) através das teclas e do movimento do mouse, chegando a sequestrar a área de transferência para manipular bitcoins conforme o interesse dos cibercriminosos.

O que torna o Janeleiro diferente de outros malwares focados no Brasil é a sua linguagem de programação: ele é codificado em .NET enquanto os demais usam a linguagem Delphi, o que significa que o novo trojan teoricamente poderia operar “acima” do sistema operacional.

Como o Janeleiro ataca no Brasil?

Exemplo de um email malicioso (Fonte: ESET/Divulgação)Exemplo de um email malicioso (Fonte: ESET/Divulgação)Fonte:  ESET 

O Janeleiro opera enviando e-mails maliciosos, remetidos em pequenos lotes para diversas empresas. O phishing (roubo de credenciais) é feito através de procedimentos corriqueiros como, por exemplo, uma notificação sobre uma fatura não paga. A “cobrança” contém geralmente um link que leva a um servidor comprometido.

Ao acessar o servidor comprometido, ou mesmo plataformas em nuvem (como o Azure), o usuário é levado a um arquivo ZIP que, quando baixado, transfere o trojan. Os servidores que hospedam esses arquivos são compartilhados por outras famílias de trojans bancários que são distribuídos em diferentes momentos, o que sugere que grupos criminosos diferentes possam estar utilizando o mesmo provedor.

Os operadores do Janeleiro são tão ousados que utilizam uma plataforma séria de hospedagem de códigos-fonte, o GitHub, para armazenar seus módulos, administrar a página da quadrilha e carregar diariamente novos repositórios.

Novo trojan bancário 'Janeleiro' ataca usuários no Brasil