Investigadores del Laboratorio de ESET, compañía líder en detección proactiva de amenazas, descubrieron un troyano bancario que se dirige a usuarios corporativos en Brasil desde al menos 2019. El troyano denominado Janeleiro afecta distintos sectores, incluidos ingeniería, atención médica, comercio minorista, manufactura, finanzas, transporte e instituciones gubernamentales.

El mismo intenta engañar a sus víctimas con ventanas emergentes diseñadas para parecerse a los sitios web de algunos de los bancos más grandes de Brasil. Después de eso, engaña a las víctimas del malware para que ingresen sus credenciales bancarias e información personal. Es capaz de controlar ventanas en pantalla, recopilar información sobre ellas, eliminar chrome.exe (Google Chrome), realizar capturas de pantalla, enviar información de los clics del mouse y de las pulsaciones del teclado, grabar en tiempo real la información ingresada por el usuario, y puede secuestrar el portapapeles para cambiar las direcciones de bitcoin con las de los criminales en tiempo real.

Pie de imagen: Ejemplo de correo electrónico malicioso que distribuye Janeleiro, una falsa notificación relacionada con una factura impaga.

A lo largo de 2020-2021, ESET realizó una serie de investigaciones sobre familias prominentes de malware de troyanos bancarios dirigidas a América Latina. Janeleiro sigue el mismo plan para su implementación central que muchas otras familias de malware que tienen como objetivo Brasil. Sin embargo, se distingue de esas familias en varios aspectos, como el lenguaje de codificación.

La mayoría de los comandos de Janeleiro son para el control de ventanas, el mouse y el teclado, y sus ventanas emergentes falsas. “La naturaleza de un ataque de Janeleiro no se caracteriza por sus capacidades de automatización, sino más bien por el enfoque práctico: en muchos casos, el operador debe ajustar las ventanas emergentes mediante comandos ejecutados en tiempo real”, dice el investigador de ESET, Facundo Muñoz, quien descubrió a Janeleiro.

“Parece que el troyano bancario estaba en desarrollo ya en 2018, y en 2020 mejoró su procesamiento de comandos para darle al operador un mejor control durante el ataque”, agrega Muñoz, quien continúa: “La naturaleza experimental de Janeleiro, yendo y viniendo entre diferentes versiones, nos habla de un actor que todavía está tratando de encontrar la mejor manera de llevar adelante su objetivo, pero esto no quiere decir que tiene menos experiencia que la competencia: Janeleiro sigue el mismo modelo para la implementación del núcleo de las ventanas emergentes falsas como muchos troyanos bancarios de LATAM, esto no parece ser una coincidencia o inspiración: este actor emplea y distribuye Janeleiro compartiendo la misma infraestructura que algunas de las familias de malware activas más prominentes”.

Este actor de amenazas utiliza el sitio web del repositorio de GitHub para almacenar sus módulos, administrando su página de organización y cargando nuevos repositorios todos los días donde almacena los archivos con las listas de sus servidores C&C (comando y control) que los troyanos recuperan para conectarse con sus operadores. Cuando una de las palabras clave relacionadas con la banca se encuentra en la máquina de la víctima, inmediatamente intenta recuperar las direcciones de sus servidores C&C de GitHub y se conecta a ellos. Estas ventanas emergentes falsas se crean dinámicamente a pedido y el atacante las controla mediante comandos.

ESET ha notificado a GitHub de esta actividad, pero al momento de escribir este artículo, no se ha tomado ninguna medida contra la página de la organización ni la cuenta de usuario.