研究人员发现了一个攻击巴西企业目标的银行木马。

周二，ESET发表了https://www.welivesecurity.com/2021/04/06/janeleiro-time-traveler-new-old-banking-trojan-brazil/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>关于恶意软件的咨询，这款特洛伊木马自2018年开始研发。

名为Janeleiro，它似乎把巴西作为猎场，并被用于针对医疗、工程、零售、金融和制造业等行业企业玩家的网络攻击。运营商在渗透政府系统时也曾试图使用这种恶意软件。

据研究人员称，这种特洛伊木马与目前在全国各地运行的其他木马类似，如Casbaneiro、Grandoreiro和Mekotio，但它是第一个被检测到的用.NET而不是Delphi编写的木马，这通常是受欢迎的。

钓鱼电子邮件，以小批量发送，发送给公司目标，假装与未付发票有关。这些消息包含到受损服务器的链接，以及到云中托管的.zip存档的下载的链接。如果受害者解压了这个存档文件，一个基于Windows的MSI安装程序就会加载主特洛伊木马DLL。

“在某些情况下，这些url在不同的时间分发了Janeleiro和其他Delphi银行家，”ESET说这表明，要么不同的犯罪集团共享相同的供应商发送垃圾邮件和托管他们的恶意软件，或者他们是同一组。我们还没有确定哪个假设是正确的。”

特洛伊木马程序将首先检查目标系统IP地址的地理位置。如果国家代码不是巴西，恶意软件将退出。但是，如果检查通过，恶意软件将收集各种操作系统数据，并从专用GitHub页面获取其命令和控制（C2）服务器的地址。

Janeleiro被用来“按需”创建假弹出窗口，例如在受损机器上检测到与银行相关的关键字时。这些弹出窗口被设计成似乎来自巴西一些最大的银行，它们要求受害者输入敏感信息和银行信息。

恶意软件的命令列表包括控制窗口、杀死现有浏览器会话（如在谷歌Chrome中启动的会话）捕获屏幕的选项，键盘记录和劫持剪贴板数据等功能。

特洛伊木马的操作员似乎更喜欢动手操作的方法，并可能远程控制windows，实时。

恶意软件运营商至少做了一个象征性的尝试来隐藏他们的活动。在这种情况下，代码混淆很轻，但没有试图绕过现有的安全软件，也没有自定义加密。

操作员使用代码存储库GitHub托管包含C2服务器列表的文件，以管理特洛伊木马感染。这些存储库每天都在更新。

截至3月，在野外发现了四种Janeleiro变体，尽管其中两种具有相同的内部版本号。该团队称，一些样本在攻击中与一个密码窃取者打包在一起，这表明“珍妮莱罗背后的组织在他们的武器库中还有其他工具”。

ESET说GitHub已经知道了威胁参与者的账户和滥用平台的情况。该页面现在已被禁用，所有者已被挂起。

“GitHub重视我们安全研究社区的贡献，并致力于调查报告的安全问题，”GitHub发言人告诉ZDNet我们根据我们可接受的使用策略禁用了该页面，此前有报道称该页面正在恶意使用我们的平台。“

以前和相关的报道

• ObliqueRAT特洛伊木马现在潜伏在图像中在受损网站上https://www.zdnet.com/article/ursnif-trojan-has-targeted-over-100-意大利语-banks/“target=”\u blank“>Ursnif特洛伊木马已锁定100多家意大利银行https://www.zdnet.com/article/malicious-apps-on-google-play-dropped-banking-特洛伊木马-on-user-devices/" target=“\u blank”>Google Play上的恶意应用在用户设备上丢弃了银行特洛伊木马
  

有提示吗？通过WhatsApp |信号+447713 025 499或Keybase:charlie0安全联系

deepdotweb dark web admin认罪购买枪支毒品rCase回扣

>游戏mod，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof