Pesquisadores da ESET, empresa líder em detecção proativa de ameaças, descobriram um novo trojan bancário que tem como alvo os usuários corporativos no Brasil. Nomeado pelos pesquisadores como Janeleiro, o trojan está ativo desde, pelo menos, 2019 em muitos setores, incluindo engenharia, saúde, varejo, indústria, finanças, transporte e instituições governamentais.

De acordo com a pesquisa, o Janeleiro tenta enganar suas vítimas com janelas pop-up projetadas para se parecerem com os sites de alguns dos maiores bancos do Brasil. Depois disso, ele faz com que as vítimas do malware insiram suas credenciais bancárias e informações pessoais. O Janeleiro capaz de controlar janelas na tela, coletar informações sobre elas, matar chrome.exe (Google Chrome), fazer captura de tela, bem como controlar teclas de keylogging, movimentos do mouse, e pode sequestrar a área de transferência para alterar endereços de bitcoin com os de criminosos em tempo real.

Ao longo dos dois últimos anos, a ESET conduziu uma série de investigações sobre famílias proeminentes de trojans bancários visando a América Latina. O Janeleiro segue exatamente o mesmo plano para a implementação central dessa técnica como algumas das famílias de malware mais proeminentes que visam a região: Casbaneiro, Grandoreiro, Mekotio, Amavaldo e Vadokrist, entre outros. No entanto, ele se diferencia dessas famílias de várias maneiras, como na linguagem de codificação, por exemplo. Seguindo o blueprint, os trojans bancários no Brasil são todos codificados na mesma linguagem de programação, a Delphi. O Janeleiro é o primeiro visto no Brasil a ser codificado em .NET. Outros recursos distintos do malware incluem: ausência de ofuscação, ausência de criptografia customizada e ausência de defesas contra softwares de segurança dos dispositivos afetados.

A maioria dos comandos do Janeleiro são para o controle de janelas, mouse e teclado, e suas falsas janelas pop-up. “A natureza de um ataque de Janeleiro não é caracterizada por suas capacidades de automação, mas sim pela abordagem prática: em muitos casos, o operador deve ajustar as janelas pop-up por meio de comandos executados em tempo real”, diz o pesquisador da ESET Facundo Muñoz , que descobriu o Janeleiro.

“Parece que o trojan bancário estava em desenvolvimento já em 2018 e, em 2020, melhorou seu processamento de comando para dar ao operador melhor controle durante o ataque”, acrescenta Muñoz, que continua: “O caráter experimental do Janeleiro indo e vindo entre versões diferentes revela um ator de ameaça que ainda está tentando encontrar a maneira certa de gerenciar suas ferramentas, mas não é menos experiente em seguir o projeto exclusivo de muitas famílias de malware na América Latina”.

Curiosamente, esse agente de ameaça se sente confortável usando o site do repositório GitHub para armazenar seus módulos, administrando sua página de organização e carregando novos repositórios todos os dias, onde armazena os arquivos com as listas de seus servidores C&C que os trojans recuperam para se conectar aos seus operadores. Quando uma das palavras-chave relacionadas a serviços bancários é encontrada no dispositivo da vítima, ela imediatamente tenta recuperar os endereços de seus servidores C&C do GitHub e se conecta a eles. Essas janelas pop-up falsas são criadas dinamicamente sob demanda e controladas pelo invasor por meio de comandos. A ESET notificou o GitHub sobre essa atividade, mas até o momento da redação deste alerta, nenhuma ação havia sido executada contra a página da organização nem contra a conta do usuário.


Visão geral do ataque do Janeleiro (simplificado)

Com base em dados de telemetria da ESET, é possível afirmar que esse malware visa apenas usuários corporativos. E-mails maliciosos são enviados para empresas no Brasil e, embora não seja comum pensar que se tratem de ataques direcionados, eles parecem ser enviados em pequenos lotes. Os pesquisadores também descobriram que os setores afetados são engenharia, saúde, varejo, indústria, finanças, transporte e governo.

Um exemplo de e-mail de phishing é o mostrado na imagem abaixo, onde se vê uma notificação falsa sobre uma fatura não paga. Ele contém um link que leva a um servidor comprometido. A página recuperada simplesmente redireciona para o download de um arquivo ZIP hospedado no Azure. Alguns outros e-mails enviados por esses invasores não têm um redirecionamento por meio de um servidor comprometido, mas levam diretamente ao arquivo ZIP.


Exemplo de e-mail malicioso enviado às vítimas
Os servidores que hospedam esses arquivos ZIP com o Janeleiro têm URLs que seguem a mesma convenção de outras URLs que vimos entregando a outras famílias de trojans bancários. Em alguns casos, essas URLs distribuíram o Janeleiro e outros banqueiros da Delphi em momentos diferentes. Isso sugere que os vários grupos criminosos compartilham o mesmo provedor de envio de e-mails de spam e de hospedagem de malware ou que são do mesmo grupo. Os pesquisadores ainda não conseguiram determinar qual das hipóteses é a correta com relação a isso.