Actividad maliciosa por parte del troyano bancario Janeleiro
- Publicado: 06/04/2021
- Importancia: Media
- Recursos afectados
Mediante el continuo monitoreo a fuentes abiertas, el Csirt Financiero logró evidenciar el troyano bancario denominado Janeleiro, el cual cuenta con actividad cibercriminal desde el año 2018, con principal enfoque en Brasil en infraestructuras tecnológicas con sistema operativo Windows, afectando sectores como el financiero, salud, educación, Pymes y manufactura. Mantiene similitudes con otros troyanos bancarios como Casbaneiro, Grandoreiro y Mekotio.
Este troyano se desarrolla en .NET y su mecanismo de propagación se realiza a través de mensajes malspam con enlaces que redirigen a supuestas facturas pendientes por pagar. Cuando el usuario descomprime el archivo .ZIP alojado en servidores previamente comprometidos, se libera un MSI que despliega en el equipo afectado el DLL con Janeleiro. Dicha DLL también contiene funciones que se encargan de establecer conexiones con el servidor comando y control C2 para recibir instrucciones por parte de los ciberdelincuentes y también para exfiltrar la información que recopila de la víctima.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas