ESET Research a découvert un nouveau cheval de Troie bancaire qui cible les utilisateurs d’entreprise au Brésil depuis au moins 2019 dans de nombreux secteurs, notamment l’ingénierie, la santé, la vente au détail, la fabrication, la finance, le transport et les administrations publiques. ESET a nommé cette nouvelle menace « Janeleiro ».
Le malware tente de tromper ses victimes via des popups conçus pour ressembler aux sites web de certaines des plus grandes banques du Brésil. Il invite ensuite les victimes à saisir leurs identifiants bancaires et leurs informations personnelles. Il est capable de contrôler les fenêtres à l’écran, recueillir des informations à leur sujet, stopper le processus chrome (Google Chrome), faire des captures d’écran, enregistrer les frappes au clavier et les mouvements de la souris, et détourner le presse-papiers pour substituer en temps réel les adresses de portefeuilles bitcoins par celles des criminels.
Tout au long de 2020 et 2021, ESET a mené une série d’enquêtes sur des familles de chevaux de Troie bancaires ciblant l’Amérique latine. Janeleiro obéit au même schéma pour son implémentation principale que de nombreuses autres familles de malwares qui ciblent le Brésil. Cependant, il se distingue de ces familles à plusieurs égards, notamment le langage de programmation utilisé. Les chevaux de Troie bancaires brésiliens sont tous codés dans le même langage de programmation, Delphi. Janeleiro est le premier à être codé en .NET au Brésil. Il possède d’autres caractéristiques distinctes : pas d’obscurcissement, pas de chiffrement personnalisé et aucune défense contre les logiciels de sécurité. <s></s>
La majorité des commandes de Janeleiro sont destinées au contrôle des fenêtres, de la souris et du clavier, et de ses faux popups. « La nature d’une attaque de Janeleiro ne se caractérise pas par ses fonctionnalités d’automatisation, mais plutôt par son approche pratique : dans de nombreux cas, l’opérateur doit ajuster les popups via des commandes exécutées en temps réel, » explique Facundo Muñoz, chercheur chez ESET qui a découvert Janeleiro.
« Il semble que le développement du cheval de Troie bancaire a commencé dès 2018, et qu’en 2020, le traitement des commandes a été amélioré pour fournir à l’opérateur un meilleur contrôle pendant les attaques, » ajoute M. Muñoz, qui poursuit : « La nature expérimentale de Janeleiro, basculant d’une version à une autre au gré des besoins révèle que son auteur essaie encore de trouver la bonne façon de gérer ses outils, mais qu’il n’en est pas moins expérimenté pour suivre le schéma unique de nombreuses familles de malwares d’Amérique latine. »
Il est intéressant de noter que ce pirate n’hésite pas à utiliser GitHub pour stocker ses modules, administrer la page de son « entreprise » et télécharger chaque jour de nouveaux référentiels dans lesquels il stocke les fichiers contenant les listes de ses serveurs de commande et de contrôle récupérées par les différentes versions du malware pour se connecter à leurs opérateurs. Lorsqu’un mot-clé relatif à une banque est trouvé sur la machine de la victime, le malware tente immédiatement de récupérer les adresses de ses serveurs de commande et de contrôle sur GitHub pour s’y connecter. Les faux popups sont créés dynamiquement à la demande et contrôlés par les opérateurs via des commandes. ESET a notifié GitHub de cette activité, mais au moment de la rédaction de ce communiqué, aucune mesure n’a été prise contre la page de l’auteur ou son compte.
Pour plus de détails techniques sur Janeleiro, lisez l’article « Janeleiro, the time traveler: A new old banking trojan in Brazil » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Aperçu de l’attaque Janeleiro (simplifié)
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.