Les chercheurs ont révélé mardi les détails d’un nouveau cheval de Troie bancaire ciblant les entreprises au Brésil au moins depuis 2019 dans divers secteurs tels que l’ingénierie, la santé, la vente au détail, la fabrication, la finance, les transports et le gouvernement.

Surnommé « Janeleiro« par la société slovaque de cybersécurité ESET, le logiciel malveillant vise à masquer sa véritable intention via des fenêtres pop-up ressemblantes conçues pour ressembler aux sites Web de certaines des plus grandes banques du pays, notamment Itaú Unibanco, Santander, Banco do Brasil, Caixa Econômica Federal et Banco Bradesco.

«Ces fenêtres contextuelles contiennent de faux formulaires, visant à inciter les victimes du malware à saisir leurs informations d’identification bancaires et les informations personnelles que le malware capture et exfiltre vers son [command-and-control] « , ont déclaré les chercheurs d’ESET Facundo Muñoz et Matías Porolli dans un article.

Ce modus operandi n’est pas nouveau pour les chevaux de Troie bancaires. En août 2020, ESET a découvert un cheval de Troie bancaire latino-américain (LATAM) appelé Mekotio qui affichait de fausses fenêtres contextuelles similaires à ses victimes dans le but de les inciter à divulguer des informations sensibles.

Mais Janeleiro se démarque pour plusieurs raisons. Premièrement, le logiciel malveillant est écrit en Visual Basic .NET, ce qui, selon les chercheurs, est un «grand écart» par rapport au langage de programmation Delphi qui est généralement préféré par les acteurs de la menace dans la région. Il ne repose pas non plus sur des algorithmes de cryptage personnalisés ou des couches supplémentaires d’obfuscation et réutilise même le code extrait de NjRAT, une rareté parmi les chevaux de Troie bancaires LATAM.

L’attaque commence par un e-mail de phishing qui prétend être une facture impayée, qui contient un lien qui, une fois cliqué, télécharge un fichier ZIP. L’archive est livrée avec un programme d’installation MSI qui charge la DLL principale du cheval de Troie, qui récupère ensuite les adresses IP des serveurs de commande et de contrôle (C2) à partir d’une page GitHub apparemment créée par les auteurs du malware. Le dernier maillon de la chaîne d’infection consiste à attendre les commandes du serveur C2.

Ainsi, dans le cas où un utilisateur visite le site Web d’une entité bancaire d’intérêt, Janeleiro se connecte au serveur C2 et affiche dynamiquement les fenêtres pop-up frauduleuses, et capture les frappes et autres informations saisies dans les faux formulaires.

ESET a déclaré avoir découvert quatre versions de Janeleiro entre septembre 2019 et mars 2021.

Ce n’est pas la première fois que des chevaux de Troie bancaires ont été repérés dans la nature qui ont distingué les utilisateurs brésiliens. L’année dernière, Kaspersky a détaillé au moins quatre familles de logiciels malveillants – Guildma, Javali, Melcoz et Grandoreiro – qui ciblaient des institutions financières au Brésil, en Amérique latine et en Europe.

Puis plus tôt en janvier, ESET a révélé un nouveau cheval de Troie bancaire basé sur Delphi nommé « Vadokrist« qui visait exclusivement le Brésil tout en partageant des similitudes avec d’autres familles de logiciels malveillants comme Amavaldo, Casbaneiro, Grandoreiro et Mekotio.

« Janeleiro suit le plan unique pour la mise en œuvre de base des fausses fenêtres pop-up comme de nombreux chevaux de Troie bancaires LATAM, cela ne semble pas être une coïncidence ou une inspiration: cet acteur emploie et distribue Janeleiro en partageant la même infrastructure que certains des plus importants. de ces familles de logiciels malveillants actifs », ont conclu les chercheurs.