Expertos descubren un nuevo troyano bancario dirigido a usuarios latinoamericanos

Investigadores revelaron detalles de un nuevo troyano bancario dirigido a usuarios corporativos en Brasil al menos desde 2019 en varios sectores como ingeniería, salud, comercio minorista, manufactura, finanzas, transporte y gobierno.

Apodado » Janeleiro » por la firma eslovaca de ciberseguridad ESET, el malware tiene como objetivo disfrazar su verdadera intención a través de ventanas emergentes similares que están diseñadas para parecerse a los sitios web de algunos de los bancos más grandes del país, incluidos Itaú Unibanco, Santander, Banco do Brasil. , Caixa Econômica Federal y Banco Bradesco.

«Estas ventanas emergentes contienen formularios falsos, con el objetivo de engañar a las víctimas del malware para que ingresen sus credenciales bancarias e información personal que el malware captura y exfiltra a sus servidores [de comando y control]», dijeron los investigadores de ESET Facundo Muñoz y Matías Porolli en una reseña.

Este modus operandi no es nuevo para los troyanos bancarios. En agosto de 2020, ESET descubrió un troyano bancario latinoamericano (LATAM) llamado Mekotio que mostraba ventanas emergentes falsas similares a sus víctimas en un intento de atraerlas para que divulgaran información confidencial.

Pero Janeleiro se destaca por varias razones. Uno, el malware está escrito en Visual Basic .NET, que según los investigadores es una «gran desviación» del lenguaje de programación Delphi que generalmente es el preferido por los actores de amenazas en la región. Tampoco se basa en algoritmos de cifrado personalizados o capas adicionales de ofuscación e incluso reutiliza código tomado de NjRAT, una rareza entre los troyanos bancarios de LATAM.

El ataque comienza con un correo electrónico de phishing que pretende ser una factura impaga, que contiene un enlace que, cuando se hace clic, descarga un archivo ZIP. El archivo viene con un instalador MSI que carga la DLL del troyano principal, que posteriormente obtiene las direcciones IP de los servidores de comando y control (C2) de una página de GitHub aparentemente creada por los autores del malware. El último eslabón de la cadena de infección implica la espera de comandos del servidor C2.

Así, en el caso de que un usuario visite el sitio web de una entidad bancaria de interés, Janeleiro se conecta al servidor C2 y muestra dinámicamente las ventanas emergentes fraudulentas, y captura las pulsaciones de teclas y otra información ingresada en los formularios falsos.

«Janeleiro sigue el plan único para la implementación central de las ventanas emergentes falsas como muchos troyanos bancarios de LATAM, esto no parece ser una coincidencia o inspiración: este actor emplea y distribuye a Janeleiro compartiendo la misma infraestructura que algunos de los más destacados de estas familias activas de malware «, concluyeron los investigadores.