Titre: ESET Research découvre Janeleiro, un nouveau cheval de Troie bancaire attaquant des entreprises brésiliennes  (06/04/2021 Par cda)
ESET Research a découvert un nouveau troyen bancaire qui depuis 2019 cible les entreprises brésiliennes des secteurs tels que l'ingénierie, la santé, la vente au détail, la fabrication, la finance, les transports et les institutions gouvernementales. ESET a baptisé cette nouvelle menace Janeleiro.

Il tente de tromper ses victimes avec des fenêtres pop-up conçues pour ressembler aux sites Web de certaines des plus grandes banques du pays. Ensuite, il incite les victimes à fournir leurs identifiants bancaires et leurs informations personnelles. Il peut contrôler les fenêtres sur l'écran, collecter des informations à leur sujet, tuer chrome.exe (Google Chrome), faire des capture d'écran ainsi que des touches de contrôle de keylogging, des mouvements de souris, et il peut détourner le clipboard pour changer les adresses bitcoin par celles de criminels, le tout en temps réel.

Durant la période 2020-2021, ESET a mené une série d'enquêtes sur les principales familles de maliciels de type chevaux de Troie bancaires ciblant l'Amérique latine. Pour sa mise en œuvre principale, Janeleiro utilise le même modèle que de nombreuses autres familles de maliciels ayant comme cible le Brésil. Il se distingue pourtant de ces familles de différentes manières, comme le code. Au Brésil, les chevaux de Troie bancaires sont tous codés dans le même langage de programmation : Delphi. Janeleiro est le premier à être codé en .NET. Les autres caractéristiques distinctives incluent: pas d'offuscation ni cryptage personnalisé et pas non plus de défense contre les logiciels de sécurité.

La majorité des commandes de Janeleiro concernent le contrôle des fenêtres, de la souris et du clavier, ainsi que de ses fausses fenêtres pop-up. Selon Facundo Muñoz, le chercheur d'ESET qui a découvert le maliciel «la nature d'une attaque Janeleiro ne se caractérise pas par ses capacités d'automatisation, mais plutôt par une approche pratique: dans nombre de cas, l'opérateur doit ajuster les fenêtres pop-up via des commandes exécutées en temps réel».

«Il semble que ce cheval de Troie était en développement depuis 2018 et, qu’en 2020, son traitement des commandes a été amélioré pour donner à l'opérateur un meilleur contrôle pendant l'attaque», ajoute Muñoz. Il poursuit: «La nature expérimentale de Janeleiro, qui va et vient entre les différentes versions, révèle un acteur qui tente de trouver la bonne façon de gérer ses outils, mais qui ne manque pas d’expérience dans le suivi du programme unique de nombreuses familles de logiciels malveillants d’Amérique latine.»

Il est intéressant à savoir que ce pirate est à l'aise lorsqu’il utilise le site Web du référentiel GitHub pour stocker ses modules, administrer sa page d'organisation et télécharger de nouveaux référentiels chaque fois qu’il stocke les fichiers avec les listes de ses serveurs C&C que les chevaux de Troie récupèrent pour se connecter à leurs opérateurs. Lorsqu'un mot-clé lié à une banque est trouvé sur l’appareil d’une victime, il essaye immédiatement de récupérer les adresses de ses serveurs C&C à partir de GitHub et de s'y connecter. Ces fausses fenêtres pop-up sont créées de manière dynamique à la demande et contrôlées par l'attaquant au moyen de commandes. ESET a informé GitHub de cette activité, mais à la rédaction de cet article, aucune mesure n'avait encore été prise contre la page d'organisation ou le compte utilisateur.

Pour plus de détails techniques sur Janeleiro, lisez le blog «Janeleiro, the time traveler: A new old banking trojan in Brazil» sur https://www.welivesecurity.com/. Pour les dernières nouvelles, suivez ESET Research sur Twitter -ESET Research on Twitter.
Retour