ESET Research обнаружила Janeleiro-новый банковский троян, атакующий корпоративных пользователей в Бразилии
Исследование ESET обнаружило новый банковский троян, который нацелен на корпоративных пользователей в Бразилии по крайней мере с 2019 года во многих секторах, включая машиностроение, здравоохранение, розничную торговлю, производство...
Братислава, Буэнос – Айрес - 06 апреля 2021 года-компания ESET Research обнаружила новый банковский троян, который нацелен на корпоративных пользователей в Бразилии как минимум с 2019 года во многих секторах, включая машиностроение, здравоохранение, розничную торговлю, производство, финансы, транспорт и правительственные учреждения. Эсет окрестила новую угрозу Жанелейро.
Он пытается обмануть своих жертв с помощью всплывающих окон, предназначенных для того, чтобы выглядеть как сайты некоторых из крупнейших банков Бразилии. После этого он обманывает жертв вредоносного ПО, вводя их банковские учетные данные и личную информацию. Он способен контролировать экранные окна, собирать информацию о них, убивать chrome.exe (Google Chrome), захват экрана, а также клавиши управления кейлоггингом, движения мыши, и он может захватить буфер обмена, чтобы изменить биткойн-адреса с теми из преступников в режиме реального времени.
На протяжении 2020-2021 годов ESET проводила серию расследований по известным семействам банковских троянских вредоносных программ, нацеленных на Латинскую Америку. Janeleiro следует той же схеме для его основной реализации, как и многие другие семейства вредоносных программ, которые нацелены на Бразилию. Однако он отличается от этих семейств несколькими способами, такими как язык кодирования. Следуя чертежу, банковские трояны в Бразилии все закодированы на одном и том же языке программирования, Delphi, Janeleiro является первым в Бразилии, который кодируется в .NET. Другие отличительные особенности включают в себя: отсутствие обфускации, отсутствие пользовательского шифрования и отсутствие защиты от программного обеспечения безопасности.
Большинство команд Джанелейро предназначены для управления окнами, мышью и клавиатурой, а также поддельными всплывающими окнами. “Природа атаки Джанелейро характеризуется не возможностями автоматизации, а скорее практическим подходом: во многих случаях оператор должен корректировать всплывающие окна с помощью команд, выполняемых в режиме реального времени”,-говорит исследователь ESET Факундо Муньос, открывший Джанелейро.
“Похоже, что банковский троян находился в стадии разработки еще в 2018 году, а в 2020 году улучшил свою обработку команд, чтобы дать оператору лучший контроль во время атаки”, - добавляет Муньос, который продолжает: “экспериментальная природа Джанелейро, переходящего туда-сюда между различными версиями, показывает субъекта угрозы, который все еще пытается найти правильный способ управления своими инструментами, но не менее опытен в следовании уникальному плану многих семейств вредоносных программ в Латинской Америке.”
Интересно, что этот субъект угроз чувствует себя комфортно, используя веб-сайт репозитория GitHub для хранения своих модулей, администрирования своей страницы организации и загрузки новых репозиториев каждый день, где он хранит файлы со списками своих серверов C&C, которые трояны извлекают для подключения к своим операторам. Когда на компьютере жертвы обнаруживается одно из ключевых слов, связанных с банковскими операциями, он немедленно пытается получить адреса своих серверов C&C из GitHub и подключается к ним. Эти поддельные всплывающие окна динамически создаются по требованию и управляются злоумышленником с помощью команд. ESET уведомила GitHub об этой деятельности, но на момент написания статьи никаких действий в отношении страницы организации или учетной записи пользователя не предпринималось.
На факультете вычислительной математики и кибернетики (ВМК) МГУ имени М.В. Ломоносова начала функционировать лаборатория свободного программного обеспечения, созданная при содействии компании «Базальт СПО». Студенты получают возможность реализовывать образовательные и научные проекты, связанные с созданием прикладного и кроссплатформенного программного обеспечения, а также заниматься сборкой образов операционных систем на основе платформы «Альт» для различных нужд.
Группа Arenadata проинформировала о выпуске обновлений для системы управления базами данных Arenadata QuickMarts (ADQM) и дополнительного модуля ADQM Control, которые теперь совместимы с российской операционной системой «Альт СП» (версия 10), разработанной компанией «Базальт СПО». Такое решение принято в рамках общей стратегии адаптации продуктовых предложений под требования современных заказчиков бизнеса.
Компания «Базальт СПО» презентовала свежую версию приложения WineHelper, предназначенную для удобной инсталляции и функционирования программ Windows в операционных системах серии «Альт». Среди нововведений — удобный графический интерфейс, поддержка альтернативных методов установки и скачивания приложений, а также встроенный инструмент для создания резервных копий установленных программ
Вышло обновление серверов Dr.Web Enterprise Security Suite и Dr.Web Industrial. Новая версия включает улучшения стабильности и новые инструменты централизованного управления действиями при обнаружении угроз на устройствах под управлением Android. Для получения всех преимуществ и корректной работы системы пользователям рекомендуется обновить серверы до актуальной версии
Компания «Доктор Веб» выявила опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных злоумышленниками версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные данные, включая логин и пароль пользователя, а также историю переписки, это ВПО обладает рядом уникальных особенностей. Например, чтобы предотвратить свое обнаружение и скрыть факт компрометации учетной записи, Android.Backdoor.Baohuo.1.origin умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, он может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, также скрывая эти действия. Фактически с его помощью злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Киберпреступники управляют бэкдором в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам наших специалистов общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
Производитель серверного оборудования OpenYard и российский разработчик операционных систем «Базальт СПО» успешно провели тестирование ОС «Альт Сервер» на серверах компании OpenYard
Ваши контактные данные не публикуются на сайте.