Он пытается обмануть своих жертв с помощью всплывающих окон, предназначенных для того, чтобы выглядеть как сайты некоторых из крупнейших банков Бразилии. После этого он обманывает жертв вредоносного ПО, вводя их банковские учетные данные и личную информацию. Он способен контролировать экранные окна, собирать информацию о них, убивать chrome.exe (Google Chrome), захват экрана, а также клавиши управления кейлоггингом, движения мыши, и он может захватить буфер обмена, чтобы изменить биткойн-адреса с теми из преступников в режиме реального времени.
На протяжении 2020-2021 годов ESET проводила серию расследований по известным семействам банковских троянских вредоносных программ, нацеленных на Латинскую Америку. Janeleiro следует той же схеме для его основной реализации, как и многие другие семейства вредоносных программ, которые нацелены на Бразилию. Однако он отличается от этих семейств несколькими способами, такими как язык кодирования. Следуя чертежу, банковские трояны в Бразилии все закодированы на одном и том же языке программирования, Delphi, Janeleiro является первым в Бразилии, который кодируется в .NET. Другие отличительные особенности включают в себя: отсутствие обфускации, отсутствие пользовательского шифрования и отсутствие защиты от программного обеспечения безопасности.
Большинство команд Джанелейро предназначены для управления окнами, мышью и клавиатурой, а также поддельными всплывающими окнами. “Природа атаки Джанелейро характеризуется не возможностями автоматизации, а скорее практическим подходом: во многих случаях оператор должен корректировать всплывающие окна с помощью команд, выполняемых в режиме реального времени”,-говорит исследователь ESET Факундо Муньос, открывший Джанелейро.
“Похоже, что банковский троян находился в стадии разработки еще в 2018 году, а в 2020 году улучшил свою обработку команд, чтобы дать оператору лучший контроль во время атаки”, - добавляет Муньос, который продолжает: “экспериментальная природа Джанелейро, переходящего туда-сюда между различными версиями, показывает субъекта угрозы, который все еще пытается найти правильный способ управления своими инструментами, но не менее опытен в следовании уникальному плану многих семейств вредоносных программ в Латинской Америке.”
Интересно, что этот субъект угроз чувствует себя комфортно, используя веб-сайт репозитория GitHub для хранения своих модулей, администрирования своей страницы организации и загрузки новых репозиториев каждый день, где он хранит файлы со списками своих серверов C&C, которые трояны извлекают для подключения к своим операторам. Когда на компьютере жертвы обнаруживается одно из ключевых слов, связанных с банковскими операциями, он немедленно пытается получить адреса своих серверов C&C из GitHub и подключается к ним. Эти поддельные всплывающие окна динамически создаются по требованию и управляются злоумышленником с помощью команд. ESET уведомила GitHub об этой деятельности, но на момент написания статьи никаких действий в отношении страницы организации или учетной записи пользователя не предпринималось.
Обзор атаки жанелейру (упрощенный)
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
«Доктор Веб» сообщает о предстоящем обновлении песочницы Dr.Web vxCube. Изменения касаются обеих версий: облачной и локальной (on-premise).
Производитель серверного оборудования OpenYard и российский разработчик операционных систем «Базальт СПО» успешно провели тестирование ОС «Альт Сервер» на серверах компании OpenYard
«Базальт СПО» выпустила серверную операционную систему на Одиннадцатой платформе (p11 Salvia). Основные изменения коснулись установки и настройки. Впервые в одном образе доступны две редакции — «Альт Сервер» и «Альт Домен». В новом приложении «Альт Компоненты» автоматизирована установка инструментов для различных способов использования сервера.
Кибер Бэкап Облачный, сервис резервного копирования и восстановления данных (BaaS) от компании «Киберпротект», стал доступен пользователям облачной платформы RCloud by 3data. Решение позволяет организациям любого масштаба — от малых предприятий до крупного бизнеса, обеспечить надёжную защиту данных с минимальными трудозатратами, без капитальных вложений и без необходимости развёртывания собственной инфраструктуры для резервного копирования и хранения резервных копий
Киберпротект расширяет линейку инфраструктурного ПО и представляет новый продукт — Кибер Хранилище — простое в эксплуатации хранилище данных c возможностью неограниченного масштабирования и реализации геораспределенных решений.
Киберпротект сообщает о расширении линейки продуктов для защиты данных пользователей от потери. У Кибер Бэкапа Персонального теперь есть мобильная версия для устройств на базе ОС Android. Мобильное приложение работает в фоновом режиме и обеспечивает сохранность данных на планшете или смартфоне, а также их быстрое восстановление в любой непредвиденной ситуации.
Награды получили решения компании для защиты частных пользователей, малого бизнеса и крупных компаний
В новой версии песочницы появилось интерактивное взаимодействие в режиме VNC, интеграция с Microsoft AMSI для анализа вредоносных скриптов на PowerShell, расширены возможности статического анализа файлов, а требования к оборудованию теперь могут быть снижены вдвое за счёт использования облачного сервиса репутации индикаторов
Ваши контактные данные не публикуются на сайте.