ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto un nuevo troyano bancario que tiene como objetivo empresas brasileñas de diferentes sectores (especialmente ingenierías, fábricas y organizaciones relacionadas con la sanidad, el retail o el transporte, además de entidades gubernamentales) y que ha denominado Janeleiro.
El troyano, que llevaría activo desde 2019, presenta en las máquinas infectadas ventanas emergentes muy parecidas a las webs corporativas de los bancos más grandes de Brasil y solicita a la víctima que introduzca las credenciales de acceso e información personal. Janeleiro es capaz de controlar las ventanas que aparecen en la pantalla, recoger información, anular Google Chrome, realizar capturas de pantalla y de pulsaciones de teclado, movimientos del ratón e incluso secuestrar el portapapeles para modificar las direcciones de bitcoin y cambiarlas por las de los criminales en tiempo real.
ESET lleva investigando las diferentes familias de troyanos bancarios que afectan a empresas y entidades públicas de Latinoamérica desde 2020. Janeleiro sigue los mismos patrones que otros malware que están afectando a organizaciones brasileñas. Sin embargo, también se diferencia en varios aspectos, como el lenguaje de programación utilizado. En general, los troyanos bancarios que afectan a usuarios en Brasil están codificados en Delphi, pero Janeleiro es el primero que se observa escrito en .Net. Además, Janeleiro, al contrario que otros troyanos similares, no incorpora técnicas de ofuscación, no cuenta con cifrado personalizado y no tiene defensa frente a soluciones de seguridad.
La mayoría de los comandos de Janeleiro sirven para controlar las ventanas, el ratón y el teclado, así como las falsas ventanas emergentes. “Los ataques de Janeleiro no se caracterizan por sus capacidades de automatización, sino por su enfoque más práctico: en muchos casos, el operador debe ajustar las ventanas emergentes a través de comandos ejecutados en tiempo real”, afirma Facundo Muñoz, el investigador de ESET que descubrió Janeleiro.
“Parece que Janeleiro ya estaba en desarrollo en 2018, y en 2020 mejoró su proceso de comandos para otorgar mayor control durante el ataque a los operadores”, añade Muñoz. “La naturaleza experimental de Janeleiro entre versiones revela que se trata de una amenaza que está todavía buscando su lugar a la hora de manejar las herramientas, pero, aun así, ha sabido seguir la huella de muchas familias de malware en Latinoamérica”.
Otro aspecto interesante sobre Janeleiro es que utiliza el repositorio GitHub para almacenar sus módulos, administrar la página de la organización y cargar cada día nuevos repositorios en los que almacena los archivos con las listas de los servidores de mando y control desde los que los troyanos se conectan para realizar sus operaciones. Cuando se encuentra una de las palabras clave en la máquina de la víctima, se conecta automáticamente con las direcciones de los servidores de mando y control almacenados en GitHub. Estas ventanas emergentes se crean de forma dinámica bajo demanda y los atacantes las controlan mediante comandos.
ESET ya ha notificado a GitHub sobre esta actividad, pero hasta la fecha no se ha tomado aún ninguna acción contra la página de la organización ni contra la cuenta de usuario.
Para más información sobre Janeleiro, se puede visitar el blog de ESET.