No Comments

El troyano ‘Janeleiro’ ataca nuevamente a clientes de varios bancos en Brasil

 

Un troyano ‘exótico’ reapareció atacando a clientes de cuatro grandes bancos de Brasil, según un boletín de la empresa de seguridad ESET: escrito en VB.Net, a diferencia de la mayoría, que está escrito en Delphi, fue bautizado como “Janeleiro” y apareció inicialmente en 2019, pero ha estado en desarrollo desde 2018, reapareciendo ahora según los investigadores de la compañía. Opera como la mayoría y abre pantallas emergentes de cuatro bancos, con un formulario para obtener las credenciales del usuario: las pantallas llevan logotipos de Banco do Brasil, Bradesco, Santander, Itaú y Caixa Econômica Federal.

Basado en datos de telemetría, el informe afirma que este malware se dirige solo a usuarios corporativos: “Los correos electrónicos maliciosos se envían a empresas en Brasil y, aunque no creemos que sean ataques dirigidos, parece que se envían en pequeños lotes. Según nuestra telemetría, los sectores afectados son ingeniería, salud, comercio minorista, manufactura, finanzas, transporte y gobierno ”.

Uno de los trucos de phishing es una notificación falsa sobre una factura impaga, que contiene un enlace que conduce a un servidor comprometido: “La página recuperada simplemente redirige a la descarga de un archivo ZIP alojado en Azure. Algunos otros correos electrónicos enviados por estos atacantes no tienen una redirección a través de un servidor comprometido, sino que conducen directamente al archivo ZIP ”.

El archivo ZIP contiene un instalador MSI, dice el estudio, que carga la DLL principal: “Usar un instalador MSI es una técnica favorita de varias familias de malware en la región. Janeleiro recupera la dirección IP pública de la computadora y usa un servicio web para intentar ubicarla geográficamente. Si el valor del código de país devuelto no coincide con BR, el malware se cerrará. Si se aprueba la verificación de geolocalización, el troyano recopila información de la máquina comprometida, que incluye:

  • Fecha y hora actual
  • Nombre y nombre de usuario de la máquina
  • Nombre completo del sistema operativo y la arquitectura
  • Versión de malware
  • Nombre de la región obtenido al ubicar geográficamente la computadora

La información se envía a un sitio web con el fin de rastrear los ataques exitosos. Después de eso, el troyano recupera las direcciones IP de los servidores C&C de una página de GitHub aparentemente creada por el criminal. Entonces, está listo para iniciar su funcionalidad principal.

Con agencias de noticias internacionales

Fuente: https://www.cisoadvisor.com.br/trojan-janeleiro-volta-a-atacar-clientes-de-varios-bancos-no-brasil/?rand=59135

You might also like
News
News

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Fill out this field
Fill out this field
Please enter a valid email address.