Experten entdecken einen neuen Banking-Trojaner, der auf lateinamerikanische Anwender abzielt

Cyber Security News

Forscher haben am Dienstag Details zu einem neuen Banking-Trojaner aufgedeckt, der es mindestens seit 2019 auf Unternehmensanwender in Brasilien abgesehen hat, und zwar in verschiedenen Branchen wie Technik, Gesundheitswesen, Einzelhandel, Produktion, Finanzen, Transport und Regierung.

Die von der slowakischen Cybersecurity-Firma ESET als “Janeleiro” bezeichnete Malware zielt darauf ab, ihre wahren Absichten über ähnlich aussehende Popup-Fenster zu verschleiern, die so gestaltet sind, dass sie den Websites einiger der größten Banken des Landes ähneln, darunter Itaú Unibanco, Santander, Banco do Brasil, Caixa Econômica Federal und Banco Bradesco.

“Diese Pop-ups enthalten gefälschte Formulare, die darauf abzielen, die Opfer der Malware dazu zu bringen, ihre Bankdaten und persönlichen Informationen einzugeben, die die Malware abfängt und an ihre [command-and-control] Server schleust”, so die ESET-Forscher Facundo Muñoz und Matías Porolli in einem Bericht.

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

Dieser Modus Operandi ist für Banking-Trojaner nicht neu. Im August 2020 entdeckte ESET einen lateinamerikanischen (LATAM) Banking-Trojaner namens Mekotio, der seinen Opfern ähnliche gefälschte Pop-up-Fenster anzeigte, um sie zur Preisgabe sensibler Daten zu verleiten.

Janeleiro sticht jedoch aus mehreren Gründen hervor. Erstens ist die Malware in Visual Basic .NET geschrieben, was laut den Forschern eine “große Abweichung” von der Delphi-Programmiersprache ist, die normalerweise von den Bedrohungsakteuren in dieser Region bevorzugt wird. Sie verwendet auch keine benutzerdefinierten Verschlüsselungsalgorithmen oder zusätzliche Verschleierungsschichten und verwendet sogar Code aus NjRAT, was unter den LATAM-Bankentrojanern eine Seltenheit ist.

[Blocked Image: https://thehackernews.com/images/-my6AuqpA9Oo/YG0_DsiRT6I/AAAAAAAACL0/J8j10gCy3TYZQytVttz-54uzZYntLgrJACLcBGAsYHQ/s0/phishing.jpg]

Der Angriff beginnt mit einer Phishing-E-Mail, die vorgibt, eine unbezahlte Rechnung zu sein, die einen Link enthält, der beim Anklicken eine ZIP-Datei herunterlädt. Das Archiv enthält ein MSI-Installationsprogramm, das die Haupt-DLL des Trojaners lädt, die anschließend die IP-Adressen der Command-and-Control-Server (C2) von einer GitHub-Seite abruft, die offenbar von den Malware-Autoren erstellt wurde. Das letzte Glied in der Infektionskette beinhaltet das Warten auf Befehle vom C2-Server.

Wenn also ein Benutzer die Website einer Bank von Interesse besucht, verbindet sich Janeleiro mit dem C2-Server und zeigt dynamisch die betrügerischen Popup-Fenster an und erfasst die Tastenanschläge und andere Informationen, die in die gefälschten Formulare eingegeben werden.

ESET gab an, dass es zwischen September 2019 und März 2021 vier Versionen von Janeleiro entdeckt hat.

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

Dies ist nicht das erste Mal, dass Banking-Trojaner in freier Wildbahn gesichtet wurden, die es auf brasilianische Benutzer abgesehen haben. Letztes Jahr beschrieb Kaspersky mindestens vier Malware-Familien – Guildma, Javali, Melcoz und Grandoreiro -, die es auf Finanzinstitute in Brasilien, Lateinamerika und Europa abgesehen hatten.

Anfang Januar dieses Jahres enthüllte ESET einen neuen Delphi-basierten Banking-Trojaner namens “Vadokrist”, der ausschließlich auf Brasilien abzielt und Ähnlichkeiten mit anderen Malware-Familien wie Amavaldo, Casbaneiro, Grandoreiro und Mekotio aufweist.

“Janeleiro folgt bei der Kernimplementierung der gefälschten Pop-up-Fenster dem gleichen Bauplan wie viele LATAM-Bankentrojaner. Dies scheint kein Zufall oder eine Inspiration zu sein: Dieser Akteur setzt Janeleiro ein und verbreitet ihn mit der gleichen Infrastruktur wie einige der prominentesten dieser aktiven Malware-Familien”, so die Schlussfolgerung der Forscher.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com