Janeleiro

Janeleiro ist ein Bankentrojaner, der sich an Unternehmen und Regierungsstellen in Brasilien richtet. Es verwendet eine schnelle Bereitstellungsmethode per E-Mail, wobei der Schwerpunkt auf der Datenerfassung durch die manuelle Steuerung der Popup-Taktik durch den Angreifer liegt. Benutzer sollten vorsichtig sein, wenn sie ZIP-E-Mail-Downloads öffnen und geeignete Sicherheitslösungen zum Erkennen oder Entfernen von Janeleiro aufbewahren.

Ein Trojaner nimmt ein wenig von njRAT und viel von kreativer Inspiration

Angesichts der geschätzten frühen Builds im Jahr 2018 hat es einige Zeit gedauert, bis die Sicherheitsbranche Janeleiro eingeholt hat - einen Bankentrojaner, der sich in seinen Absichten nicht allzu sehr von den in Brasilien tätigen Vizom Malware, Grandoreiro und anderen Bankkontodieben unterscheidet. Diese spezialisierte Spyware scheut sich nicht, Techniken, Code oder Infrastruktur von anderen auszuleihen.Dennoch ist es auch ein einzigartiges Beispiel für einen Banking-Trojaner, der bei Bedarf seinen eigenen Weg geht.

Janeleiro enthält einige Funktionen von njRAT und verwendet eine auf ZIP-Archivdateien basierende Installationsmethode, die es mit anderen Banking-Trojanern teilt, die auf Brasilien abzielen. Es verwendet jedoch auch hauptsächlich Originalcode in einer für seine Region unorthodoxen Programmiersprache und eine hochspezifische, täglich aktualisierte GitHub C & C-Infrastruktur. Zum Glück für die Opfer werden (zumindest in aktuellen Versionen) keine Antiviren- oder Sicherheitsfunktionen ausgelassen, obwohl damit Programmprozesse wie Chrome beendet werden können.

Die Nutzlast von Janeleiro erinnert stark an andere Trojaner, die Malware-Analysten in Brasilien sehen. Es überwacht die Fenster des Benutzers auf Schlüsselwörter, die sich auf offizielle Banken beziehen, und benachrichtigt den Angreifer gegebenenfalls. Der Angreifer verwendet wiederum vielfältige Einstellungen zur Steuerung dynamisch angepasster Popups.

Diese Popup-Fenster imitieren Bank-Websites und -Anwendungen und helfen dem Bedrohungsakteur, betrügerische Transaktionen zu fördern. Sie können Daten auch über einige allgemeine Funktionen erfassen, z. B. Keylogging, Screenshots machen oder die Eingabegeräte des Benutzers (Tastatur und Maus) entführen.

Eine kurzfristige Infektion mit langfristigen Folgen

Janeleiro ist das, was man als "wartungsintensiven" Trojaner bezeichnen könnte, da die Entwickler über Funktionen und Infrastrukturen verfügen, die erhebliche Aufmerksamkeit erfordern. Das Interessanteste an Janeleiro ist jedoch das aktuelle Bereitstellungsmodell des Builds 0.0.3 (spätestens ab April 2021). Janeleiros Verschlüsselung für seine Zeichenfolgen und Command & Control-Details hängt vom aktuellen Datum ab. In der Praxis bedeutet diese Codierungsoptimierung, dass Janeleiro alle beabsichtigten Funktionen innerhalb eines einzigen Tages bereitstellt und ausführt, bevor der Betrieb eingestellt wird (und sich vermutlich selbst deinstalliert).

Benutzer sollten nach Taktiken Ausschau halten, die maßgeschneiderte Phishing-Köder für ihre Unternehmen sowie ebenso maßgeschneiderte Betrugsmaßnahmen für Banken beinhalten. Derzeit können Malware-Experten nur auf Angriffe gegen Unternehmen und Behörden hinweisen. Die überprüfbaren Ziele bestehen aus so unterschiedlichen Sektoren wie Einzelhandel, Ingenieurwesen, Fertigung und Finanzen.

Malware-Experten empfehlen Benutzern, bei E-Mails, die potenziell gefälschten Rechnungen, Lebensläufen, Geschäftsartikeln und anderen Geschäftsinformationen ähneln, äußerst vorsichtig zu sein, um Angriffe zu verhindern. Die meisten Anti-Malware-Dienstprogramme, einschließlich der von regionalen Banken vorgeschriebenen Standardlösungen, sollten Janeleiro blockieren oder löschen.

Janeleiro arbeitet mit einer Fast-Track-Mentalität, die so weit wie möglich nicht automatisiert ist. Obwohl GitHub die damit verbundene Infrastruktur herunterfährt, werden seine Entwickler den Verlust wahrscheinlich nicht in Kauf nehmen und ihr illegales Geschäft einstellen.