Investigadores de ESET han estado rastreando un nuevo troyano bancario que
desde 2019 ha estado apuntando a usuarios corporativos de distintas industrias
en Brasil, afectando a sectores como ingeniería, salud, retail, manufactura,
finanzas, transporte y gobierno.
Esta nueva amenaza, a la que hemos llamado Janeleiro, intenta engañar a sus
víctimas utilizando ventanas emergentes diseñadas para parecerse a las que
utilizan los sitios web de algunos de los bancos más grandes de Brasil. Estas
ventanas emergentes contienen formularios falsos, con el objetivo de engañar a
las víctimas del malware para que ingresen sus credenciales bancarias e
información personal. Esta información es capturada y exfiltrada por el
malware a sus servidores de C&C. Para la implementación del núcleo de esta
técnica, Janeleiro sigue exactamente el mismo modelo que algunas de las
familias de malware más destacadas que se dirigen a la región de América
Latina, como
Casbaneiro,
Grandoreiro,
Mekotio,
Amavaldo
y
Vadokrist, entre otros.
A diferencia de esas conocidas familias de malware, Janeleiro está escrito en
Visual Basic .NET, una gran desviación con respecto al lenguaje de
programación favorito (Delphi) que
otras familias de troyanos bancarios que apuntan a la región
han estado usando durante años. Janeleiro ha estado evolucionando con el
objetivo de brindar a los operadores más control para manipular y ajustar sus
falsas ventanas emergentes en función de lo que necesitan para realizar el
ataque, enviar información de los clics del mouse y de las pulsaciones del
teclado, y grabar en tiempo real la pantalla y la información ingresada por el
usuario. La naturaleza de estos tipos de ataques no se caracteriza por sus
capacidades de automatización, sino más bien por el enfoque práctico: en
muchos casos, el operador debe ajustar las ventanas mediante comandos en
tiempo real.
Los operadores parecen cómodos usando GitHub para almacenar sus módulos,
administrando su página de organización y cargando nuevos repositorios todos
los días en los cuales almacenan los archivos con las listas de los servidores
de C&C que los troyanos recuperan para conectarse con sus operadores.
Hacer que el malware dependa de una sola fuente es un enfoque interesante,
pero ¿y si le dijéramos que la versión más nueva de Janeleiro solo vive un
día?
El blanco: Brasil
Este malware apunta
solo a usuarios corporativos. Los correos electrónicos maliciosos son enviados
a empresas en Brasil, y pese a que no creemos que se trate de ataques
dirigidos, parece que se envían en pequeños lotes. Según nuestra telemetría,
los sectores afectados son ingeniería, salud, retail, manufactura, finanzas,
transporte y gobierno.
En la figura se muestra un ejemplo de los correos de phishing que utiliza
Janeleiro: una falsa notificación relacionada con una factura impaga. Contiene
un enlace que lleva a un servidor comprometido. La página cargada simplemente
redirige a la descarga de un archivo ZIP alojado en Azure. Algunos de los
correos enviados por los atacantes no llevan adelante una redirección a través
de un servidor comprometido, sino que conducen directamente al archivo ZIP.
La URL de los servidores que alojan estos archivos ZIP con Janeleiro presentan
la misma convención que otras URL que hemos visto utilizar para distribuir
otras familias de troyanos bancarios (consulte la sección
Indicadores de Compromiso). En algunos casos, a través de estas URL
se ha distribuido en diferentes momentos tanto a Janeleiro como a otros
troyanos bancarios escritos en Delphi. Esto sugiere que los distintos grupos
criminales comparten el mismo proveedor para enviar correos de spam y para
alojar su malware, o que son el mismo grupo. Aún no hemos determinado qué
hipótesis es la correcta.
En la Figura 2 se muestra una descripción general del proceso de ataque.
El archivo ZIP contiene un instalador MSI que carga la DLL principal del
troyano. De hecho, son varias las familias de malware en la región que
prefieren la técnica de utilizar un instalador MSI. Janeleiro recupera la
dirección IP pública de la computadora afectada y usa un servicio web para
intentar geolocalizarla. Si el valor del código de país devuelto no coincide
con BR,
el malware se cierra. Si la verificación de geolocalización es aprobada,
Janeleiro recopila información de la máquina comprometida, lo cual incluye:
- Fecha y hora actual
- Nombre de la máquina y nombre de usuario
- Arquitectura y nombre completo del SO
- Versión de malware
- Nombre de la región obtenida al geolocalizar la computadora
La información se carga en un sitio web con el propósito de rastrear los
ataques exitosos. Después de eso, Janeleiro recupera las direcciones IP de los
servidores de C&C de una página de organización de GitHub aparentemente
creada por los criminales. A partir de ahí está listo para iniciar su núcleo
de funcionalidades y esperar los comandos de un operador.
Artículo completo en fuente original
WeLiveSecurity
