Ερευνητές
ασφαλείας
της
ESET
ανακάλυψαν ένα νέο
banking
Trojan
, με το
όνομα
Janeleiro
, το οποίο
στοχεύει οργανισμούς και κυβερνητικές
υπηρεσίες
στη
Βραζιλία
.
Δείτε επίσης
:
Mods και
συστήματα
εξαπάτησης για games διασπείρουν
Trojan
malware
Οι ερευνητές δημοσίευσαν μια
έκθεση
σχετικά με το
trojan
.
Το Janeleiro
Trojan
φαίνεται να επικεντρώνεται στη
Βραζιλία
και έχει χρησιμοποιηθεί σε
κυβερνοεπιθέσεις
εναντίον οργανισμών σε κλάδους, όπως η
υγειονομική περίθαλψη
, η μηχανική, η λιανική πώληση
και
η οικονομία
. Οι
εγκληματίες
πίσω από το
malware
έχουν προσπαθήσει να το χρησιμοποιήσουν και για την
παραβίαση
κυβερνητικών συστημάτων
.
Δείτε επίσης
:
Hackers
χρησιμοποιούν icon files για να διανείμουν το NanoCore
Trojan
Σύμφωνα με τους ερευνητές της ESET, το Janeleiro
Trojan
είναι παρόμοιο με άλλα trojans που χρησιμοποιούνται στη χώρα, όπως το
Casbaneiro
, το
Grandoreiro
και το
Mekotio
, αλλά είναι το πρώτο που είναι
γραμμένο σε .NET, αντί για Delphi
, που είναι το συνηθισμένο.
Το
trojan
διανέμεται μέσω
phishing
emails
, που αποστέλλονται σε εταιρικούς στόχους και λένε ότι σχετίζονται με μη πληρωμένα
τιμολόγια
. Αυτά τα
μηνύματα
περιέχουν
συνδέσμους
προς παραβιασμένους
servers
και οδηγούν στη
λήψη
ενός αρχείου .zip
που φιλοξενείται στο cloud. Εάν το θύμα κάνει unzip αυτό το archive file,
ένα
Windows
-based MSI installer φορτώνει το κύριο
Trojan
DLL.
Δείτε επίσης
:
Κακόβουλες
εφαρμογές
του
Google
Play τοποθετούν
Trojan
σε
συσκευές
“
Σε ορισμένες περιπτώσεις, αυτά τα URL διανέμουν τόσο το Janeleiro όσο και άλλα trojans σε διαφορετικές χρονικές στιγμές
“, λέει η ESET. “
Αυτό υποδηλώνει ότι είτε οι διάφορες εγκληματικές
ομάδες
μοιράζονται τον ίδιο πάροχο για την
αποστολή
spam
emails
και για τη φιλοξενία του κακόβουλου λογισμικού τους, είτε ότι είναι η ίδια ομάδα πίσω από όλα τα trojans. Δεν έχουμε ακόμη προσδιορίσει ποια υπόθεση είναι σωστή
“.
Το Janeleiro
Trojan
ελέγχει πρώτα τη γεωγραφική τοποθεσία
του στόχου. Εάν ο κωδικός χώρας είναι διαφορετικός από αυτόν της Βραζιλίας, το κακόβουλο λογισμικό σταματά. Ωστόσο, εάν δει ότι ο στόχος βρίσκεται στη
Βραζιλία
, το κακόβουλο λογισμικό
θα συλλέξει μια σειρά δεδομένων
λειτουργικού συστήματος και θα πάρει τη διεύθυνση του command-and-control (C2) server από ένα dedicated
GitHub
page.
Το Janeleiro χρησιμοποιείται για τη δημιουργία
ψεύτικων pop-up παραθύρων
που έχουν σχεδιαστεί με τέτοιο τρόπο, ώστε να
φαίνεται ότι προέρχονται από μερικές από τις μεγαλύτερες
τράπεζες
σε ολόκληρη τη
Βραζιλία
και
ζητούν την εισαγωγή προσωπικών και τραπεζικών στοιχείων από τα
θύματα
.
Το banking
trojan
έχει διάφορες
δυνατότητες
, συμπεριλαμβανομένης της συλλογής clipboard data, του
keylogging
, της καταγραφής οθόνης κλπ.
Από τον Μάρτιο, έχουν εντοπιστεί τέσσερις παραλλαγές του Janeleiro, αν και οι δύο έχουν τον ίδιο εσωτερικό version number. Ορισμένα δείγματα έχουν συνδυαστεί με ένα
password
stealer
, κάτι που υποδηλώνει ότι “
η ομάδα πίσω από το Janeleiro έχει κι άλλα εργαλεία στο οπλοστάσιό της
“, σύμφωνα με τους ερευνητές.
Σύμφωνα με την ESET οι χειριστές του
malware
χρησιμοποιούν το
GitHub
, το οποίο έχει ενημερωθεί για τον λογαριασμό των
hackers
και την
κατάχρηση
της πλατφόρμας.
Η σελίδα έχει πλέον απενεργοποιηθεί και ο κάτοχος έχει τεθεί σε αναστολή.
“
Το
GitHub
εκτιμά τις συνεισφορές της ερευνητικής μας κοινότητας και δεσμεύεται να διερευνήσει αναφερόμενα ζητήματα
ασφαλείας
“, δήλωσε εκπρόσωπος του
GitHub
στο ZDNet. “
Απενεργοποιήσαμε τη σελίδα σύμφωνα με τις Πολιτικές μας για την αποδεκτή
χρήση
, μετά την αναφορά ότι η
πλατφόρμα
μας χρησιμοποιούνταν για κακόβουλους σκοπούς
“.
Πηγή: ZDNet
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.