أبحاث «إسيت» تكشف عن هجمات طروادة مصرفية جديدة كانت تستهدف مستخدمي الشركات في البرازيل منذ عام 2019 على الأقل في العديد من القطاعات، بما في ذلك الهندسة والرعاية الصحية وتجارة التجزئة والتصنيع والتمويل والنقل والمؤسسات الحكومية. «إسيت» أطلق على التهديد الجديد Janeleiro.
تحاول الهجمات المذكورة خداع ضحاياها من خلال نوافذ منبثقة مصممة لتبدو مثل مواقع الويب لبعض أكبر البنوك في البرازيل. وتقوم بعد ذلك بخداع الضحايا لإدخال بيانات اعتمادهم المصرفية ومعلوماتهم الشخصية. إنه قادر على التحكم في النوافذ التي تظهر على الشاشة، وجمع المعلومات عنها، وتعطيل chrome.exe (جوجل كروم)، والتقاط صور الشاشة، بالإضافة إلى مفاتيح التحكم في تسجيل المفاتيح، وحركات الماوس، ويمكنه اختطاف الحافظة لتغيير عناوين البيتكوين بجودة عالية.
أجرت شركة «إسيت» سلسلة من التحقيقات طوال الفترة من 2020 حتى 2021، حول عائلات البرمجيات الخبيثة المصرفية البارزة التي تستهدف أمريكا اللاتينية. يتبع Janeleiro نفس المخطط الأساسي لتنفيذه مثل العديد من عائلات البرامج الضارة الأخرى التي تستهدف البرازيل. ومع ذلك، فإنها تميز نفسها عن تلك العائلات من الهجمات بعدة طرق، مثل لغة الترميز. تم ترميز جميع هجمات طروادة المصرفية في البرازيل بنفس لغة البرمجة، دلفي. و Janeleiro هو أول واحد شوهد في البرازيل يتم ترميزه في .NET. تشمل الميزات المميزة الأخرى: عدم وجود تشويش، وعدم وجود تشفير مخصص، وعدم وجود دفاعات ضد برامج الأمن.
غالبية أوامر Janeleiro تكون عبر التحكم في النوافذ والماوس ولوحة المفاتيح والنوافذ المنبثقة الزائفة. يقول “فاكوندو مونوز” الباحث في شركة «إسيت»، الذي اكتشف Janeleiro.: “لا تتميز طبيعة هجوم Janeleiro بقدرات الأتمتة، بل بالأسلوب العملي: في كثير من الحالات، يجب على المشغل ضبط النوافذ المنبثقة عبر الأوامر المنفذة في الوقت الفعلي”.
ويضيف “مونوز”: “يبدو أن طروادة المصرفية كانت قيد التطوير منذ عام 2018. وفي عام 2020، حسنت معالجة الأوامر لمنح المشغل تحكمًا أفضل أثناء الهجوم. تكشف الطبيعة التجريبية المختلفة لهجوم Janeleiro عن وجود إصدارات مختلفة لتهديد لا يزال يحاول العثور على الطريقة الصحيحة لإدارة أدواته، ولكنه يتبع المخطط الفريد للعديد من عائلات البرامج الضارة في أمريكا اللاتينية”.
ومن المثير للاهتمام، أن ممثل التهديد هذا يشعر بالراحة عند استخدام خدمات المضيف على الإنترنت GitHub لتخزين وحداته، وإدارة صفحة المؤسسة الخاصة به، وتحميل مستودعات جديدة كل يوم حيث يخزن الملفات مع قوائم خوادم القيادة والتحكم التي تستردها هجمات طروادة للاتصال بمشغليها. عندما يتم العثور على إحدى الكلمات الرئيسية المتعلقة بالخدمات المصرفية على جهاز الضحية، فإنه يحاول على الفور استرداد عناوين خوادم القيادة والتحكم الخاصة به من GitHub والاتصال بها. يتم إنشاء هذه النوافذ المنبثقة الزائفة ديناميكيًا عند الطلب ويتحكم بها المهاجم عبر الأوامر. وقامت «إسيت» بإخطار GitHub بهذا النشاط، ولكن حتى وقت كتابة هذا التقرير، لم يتم اتخاذ أي إجراء ضد صفحة المؤسسة أو حساب المستخدم.