专家发现了一个针对拉丁美洲用户的新银行特洛伊木马

该恶意软件被斯洛伐克网络安全公司ESET称为“Janeleiro”，旨在通过类似弹出窗口来掩盖其真实意图，弹出窗口的设计类似于该国一些最大银行的网站，包括ItaúUnibanco、Santander、Banco do Brasil、Caixa Econômica Federal和Banco Bradesco。

ESET研究人员法孔多·穆尼奥斯（Facundo Muñoz）和马蒂斯·波罗利（Matías Porolli）在一篇文章中说：“这些弹出窗口包含虚假表单，旨在诱骗恶意软件的受害者输入他们的银行凭证和个人信息，这些信息被恶意软件捕获并外泄到其[命令和控制]服务器。”。

这种手法对银行特洛伊木马来说并不新鲜。2020年8月，ESET发现了一个名为Mekotio的拉丁美洲（LATAM）银行特洛伊木马，该木马向受害者显示类似的假弹出窗口，试图诱使他们泄露敏感信息。

但珍妮莱罗之所以能脱颖而出，有很多原因。第一，恶意软件是用Visual Basic编写的。NET，研究人员称它与该地区的威胁行为体通常喜欢的Delphi编程语言有“很大的偏差”。它也不依赖自定义加密算法或额外的模糊层，甚至可以重用NjRAT的代码，NjRAT是LATAM banking特洛伊木马中罕见的一种。

攻击始于一封自称是未付发票的钓鱼电子邮件，其中包含一个链接，单击该链接时会下载一个ZIP文件。该归档文件附带一个MSI安装程序，该安装程序加载主特洛伊木马DLL，该DLL随后从一个GitHub页面获取命令和控制（C2）服务器的IP地址，该页面显然是由恶意软件作者创建的。感染链的最后一个环节是等待指挥与控制服务器的命令。

因此，在这种情况下，用户访问感兴趣的银行实体的网站，Janeleiro连接到C2服务器，动态显示欺诈性弹出窗口，并捕获在假表单中输入的击键和其他信息。

ESET说它在2019年9月到2021年3月之间发现了四个版本的JeeleLeo。

这已经不是第一次在野外发现针对巴西用户的银行特洛伊木马。去年，卡巴斯基列举了至少四个恶意软件家族—；Guildma、Javali、Melcoz和Grandoreiro—；被发现针对巴西、拉丁美洲和欧洲的金融机构。

今年1月早些时候，ESET发现了一个新的基于Delphi的银行特洛伊木马“Vadokrist”，该木马被发现专门针对巴西，同时与Amavaldo、Casbaneiro、Grandoreiro和Mekotio等其他恶意软件家族有相似之处。

研究人员得出结论：“Janeleiro遵循了仿冒弹出窗口核心实现的独特蓝图，就像许多LATAM banking特洛伊木马一样，这似乎不是巧合或灵感：这名参与者雇佣并分发Janeleiro，与这些最著名的恶意软件家族共享相同的基础设施。”。