ESET інформує про виявлення нового банківського трояна

Компанія ESET повідомляє про відкриття нового банківського трояна

ESET повідомляє про відкриття нового банківського трояна Janeleiro, який працює щонайменше з 2019 року. Зловмисники намагаються обдурити своїх жертв спливаючими вікнами, схожими на сайти деяких банків. Після цього шкідливе програмне забезпечення обманює користувачів, щоб вони вводили свої банківські реквізити та особисту інформацію.

Загроза здатна управляти екранними вікнами, збирати інформацію про них, закривати chrome.exe (Google Chrome), робити скріншоти, отримувати контроль над клавіатурою і мишею жертви. Крім того, новий банківський троян може змінювати адреси гаманців з біткоіни жертв на адреси кіберзлочинців в режимі реального часу, перехоплюючи контроль над буфером обміну.

Варто відзначити, що цілями зловмисників  є корпоративні користувачі в сферах інженерії, охорони здоров'я, роздрібної торгівлі, виробництва, фінансів, транспорту, а також державні установи Бразилії.

Більшість команд Janeleiro дозволяють отримати контроль над вікнами, мишею і клавіатурою, а також їх підробленими спливаючими вікнами. "Атаки з використанням Janeleiro характеризуються не можливостями автоматизації, а практичним підходом: у багатьох випадках оператор повинен налаштовувати спливаючі вікна з командами, які виконуються в режимі реального часу" , - коментує дослідник ESET.

«Банківський троян був розроблений ще в 2018 році, а в 2020 році для поліпшення контролю під час атаки була поліпшена обробка команд шкідливим ПЗ», - додає дослідник ESET.  " Поліпшення свідчать про те, що зловмисники намагаються знайти правильний спосіб управління своїми інструментами, хоча унікальність їх схеми зараження не поступається багатьом сімействам шкідливих програм ."

Також цікавим є використання зловмисниками сайту GitHub для зберігання своїх модулів, адміністрування сторінки організації і щоденного завантаження нових репозиторіїв зі списками своїх командно-контрольних серверів (C&C), які троянам необхідно підключати до своїх операторів.

Після виявлення на пристрої жертви одного з ключових слів, пов'язаних з банківським сектором , шкідливе ПЗ відразу отримує адреси командно-керуючих серверів від GitHub і підключається до них. Ці фейкові спливаючі вікна динамічно створюються на вимогу і маніпулюються зловмисниками за допомогою команд.


Опубліковано: 5 квітня 2021


Вибрати програмне забезпечення


Напишіть запит на програмне забезпечення нам у Viber
+380503703627


Контакти Ай Ті Про

info@itpro.ua
Телефон: +38 (044) 257-24-44