Он пытается обмануть своих жертв с помощью всплывающих окон, предназначенных для того, чтобы выглядеть как сайты некоторых из крупнейших банков Бразилии. После этого он обманывает жертв вредоносного ПО, вводя их банковские учетные данные и личную информацию. Он способен контролировать экранные окна, собирать информацию о них, убивать chrome.exe (Google Chrome), захват экрана, а также клавиши управления кейлоггингом, движения мыши, и он может захватить буфер обмена, чтобы изменить биткойн-адреса с теми из преступников в режиме реального времени.
На протяжении 2020-2021 годов ESET проводила серию расследований по известным семействам банковских троянских вредоносных программ, нацеленных на Латинскую Америку. Janeleiro следует той же схеме для его основной реализации, как и многие другие семейства вредоносных программ, которые нацелены на Бразилию. Однако он отличается от этих семейств несколькими способами, такими как язык кодирования. Следуя чертежу, банковские трояны в Бразилии все закодированы на одном и том же языке программирования, Delphi, Janeleiro является первым в Бразилии, который кодируется в .NET. Другие отличительные особенности включают в себя: отсутствие обфускации, отсутствие пользовательского шифрования и отсутствие защиты от программного обеспечения безопасности.
Большинство команд Джанелейро предназначены для управления окнами, мышью и клавиатурой, а также поддельными всплывающими окнами. “Природа атаки Джанелейро характеризуется не возможностями автоматизации, а скорее практическим подходом: во многих случаях оператор должен корректировать всплывающие окна с помощью команд, выполняемых в режиме реального времени”,-говорит исследователь ESET Факундо Муньос, открывший Джанелейро.
“Похоже, что банковский троян находился в стадии разработки еще в 2018 году, а в 2020 году улучшил свою обработку команд, чтобы дать оператору лучший контроль во время атаки”, - добавляет Муньос, который продолжает: “экспериментальная природа Джанелейро, переходящего туда-сюда между различными версиями, показывает субъекта угрозы, который все еще пытается найти правильный способ управления своими инструментами, но не менее опытен в следовании уникальному плану многих семейств вредоносных программ в Латинской Америке.”
Интересно, что этот субъект угроз чувствует себя комфортно, используя веб-сайт репозитория GitHub для хранения своих модулей, администрирования своей страницы организации и загрузки новых репозиториев каждый день, где он хранит файлы со списками своих серверов C&C, которые трояны извлекают для подключения к своим операторам. Когда на компьютере жертвы обнаруживается одно из ключевых слов, связанных с банковскими операциями, он немедленно пытается получить адреса своих серверов C&C из GitHub и подключается к ним. Эти поддельные всплывающие окна динамически создаются по требованию и управляются злоумышленником с помощью команд. ESET уведомила GitHub об этой деятельности, но на момент написания статьи никаких действий в отношении страницы организации или учетной записи пользователя не предпринималось.
Обзор атаки жанелейру (упрощенный)
Среди основных обновлений – изменения службы уведомлений, Telegram-бота, VPN, Xauth, а также отказ от службы «Веб-фильтр SkyDNS» и соответствующих категорий и стандартного набора правил
«МойОфис» и «СёрчИнформ» подтвердили совместимость своих продуктов: решения для совместной работы и хранения документов «МойОфис Документы Онлайн» и DLP-системы для защиты от утечек информации «СёрчИнформ КИБ»
«Группа Астра» объявляет о выходе службы каталога ALD Pro 2.5.0. Этот релиз содержит несколько десятков дополнений и улучшений, благодаря которым продукт стал еще более безопасным, надежным, производительным и удобным в использовании
Компания «Киберпротект» представила обновление Кибер Протего. Начиная с версии 10.5, в российской DLP-системе существенно расширены возможности для Linux-инфраструктур, добавлены новые контролируемые каналы передачи данных, функции контроля рабочего времени
Версия 1.9.14 является развитием редакции 1.9 «1С:Библиотека электронных документов 8», которая предназначена для обеспечения обмена электронными документами в прикладных решениях, разработанных на платформе «1С:Предприятие» версии 8.3.24.1548 и выше
Решение для интеллектуального корпоративного поиска Content AI Intelligent Search, cерверное решение для распознавания и конвертации документов ContentReader® Server и многофункциональный OCR SDK для разработчиков ContentReader® Engine получили официальный статус продуктов с признаками искусственного интеллекта. Это подтвердила экспертиза, проводимая специалистами Минцифры РФ
ФСТЭК России сертифицировал Dr.Web Industrial для защиты серверов и рабочих станций в промышленных системах управления.
Deckhouse Kubernetes Platform (DKP) от компании «Флант» достигла значимого показателя – к началу 2025 года количество кластеров под управлением платформы превысило 1000, охватывая широкий спектр отраслей: ретейл, промышленность, банкинг, финтех, сырьевые компании, госструктуры, ИТ, медицину, образование, логистику и СМИ. Большой проектный опыт позволил разработчику занять лидирующие позиции по контрибуциям в Kubernetes среди российских компаний и стать отраслевым технологическим стандартом.
Его появление в портфолио продуктов компании обусловлено мировым трендом на развитие платформ по защите облачных рабочих нагрузок
Ваши контактные данные не публикуются на сайте.