ESET ha descubierto  un nuevo troyano bancario que tiene como objetivo empresas brasileñas de diferentes sectores 

El troyano, que llevaría activo desde 2019, presenta en las máquinas infectadas ventanas emergentes muy  parecidas a las webs corporativas de los bancos más grandes de Brasil y solicita a la víctima que introduzca las credenciales de acceso e información personal. Janeleiro es capaz de controlar las ventanas que aparecen en  la pantalla, recoger información, anular Google Chrome, realizar capturas de pantalla y de pulsaciones de  teclado, movimientos del ratón e incluso secuestrar el portapapeles para modificar las direcciones de bitcoin  y cambiarlas por las de los criminales en tiempo real.  

ESET lleva investigando las diferentes familias de troyanos bancarios que afectan a empresas y entidades  públicas de Latinoamérica desde 2020. Janeleiro sigue los mismos patrones que otros malware que están  afectando a organizaciones brasileñas. Sin embargo, también se diferencia en varios aspectos, como el  lenguaje de programación utilizado. En general, los troyanos bancarios que afectan a usuarios en Brasil están  codificados en Delphi, pero Janeleiro es el primero que se observa escrito en .Net. Además, Janeleiro, al  contrario que otros troyanos similares, no incorpora técnicas de ofuscación, no cuenta con cifrado personalizado y no tiene defensa frente a soluciones de seguridad.  

La mayoría de los comandos de Janeleiro sirven para controlar las ventanas, el ratón y el teclado, así como las  falsas ventanas emergentes. “Los ataques de Janeleiro no se caracterizan por sus capacidades de  automatización, sino por su enfoque más práctico: en muchos casos, el operador debe ajustar las ventanas  emergentes a través de comandos ejecutados en tiempo real”, afirma Facundo Muñoz, el investigador de ESET  que descubrió Janeleiro.  

“Parece que Janeleiro ya estaba en desarrollo en 2018, y en 2020 mejoró su proceso de comandos para  otorgar mayor control durante el ataque a los operadores”, añade Muñoz. “La naturaleza experimental de Janeleiro entre versiones revela que se trata de una amenaza que está todavía buscando su lugar a la hora de manejar las herramientas, pero, aun así, ha sabido seguir la huella de muchas familias de malware en Latinoamérica”.  

Otro aspecto interesante sobre Janeleiro es que utiliza el repositorio GitHub para almacenar sus módulos,  administrar la página de la organización y cargar cada día nuevos repositorios en los que almacena los  archivos con las listas de los servidores de mando y control desde los que los troyanos se conectan para realizar sus operaciones. Cuando se encuentra una de las palabras clave en la máquina de la víctima, se  conecta automáticamente con las direcciones de los servidores de mando y control almacenados en GitHub. Estas ventanas emergentes se crean de forma dinámica bajo demanda y los atacantes las controlan mediante comandos. 

ESET ya ha notificado a GitHub sobre esta actividad, pero hasta la fecha no se ha tomado aún ninguna acción contra la página de la organización ni contra la cuenta de usuario.