ESET Temukan Trojan Perbankan Baru yang Targetkan Amerika Latin
Situs palsu yang dibuat mirip dengan milik perbanka di Brasil | Sumber: ESET
Cyberthreat.id- Peneliti pada hari Selasa mengungkapkan rincian trojan perbankan baru yang menargetkan pengguna korporat di Brasil setidaknya sejak 2019 di berbagai sektor seperti teknik, perawatan kesehatan, ritel, manufaktur, keuangan, transportasi, dan pemerintahan.
Dijuluki "Janeleiro" oleh firma keamanan siber Slovakia ESET, malware tersebut bertujuan untuk menyamarkan maksud sebenarnya melalui jendela pop-up yang dirancang untuk menyerupai situs web dari beberapa bank terbesar di negara itu termasuk Itaú Unibanco, Santander, Banco do Brasil , Caixa Econômica Federal, dan Banco Bradesco.
"Pop-up ini berisi formulir palsu, yang bertujuan untuk mengelabui korban malware agar memasukkan kredensial perbankan dan informasi pribadi mereka yang ditangkap dan dieksfiltrasi oleh malware ke server perintah dan kontrol (C2) yang dikuasai peretas," kata peneliti ESET Facundo Muñoz dan Matías Porolli seperti diberitakan Hacker News, Selasa (6 April 2021).
Modus operandi ini bukanlah hal baru bagi trojan perbankan. Pada Agustus 2020, ESET menemukan trojan perbankan Amerika Latin (LATAM) bernama Mekotio yang menampilkan jendela sembul palsu serupa kepada para korbannya dalam upaya mengelabui mereka agar membocorkan informasi sensitif.
Tetapi Janeleiro menonjol karena sejumlah alasan. Pertama, malware tersebut ditulis dalam Visual Basic .NET, yang menurut para peneliti merupakan "penyimpangan besar" dari bahasa pemrograman Delphi yang biasanya disukai oleh para pelaku ancaman di wilayah tersebut. Itu juga tidak bergantung pada algoritme enkripsi khusus dan bahkan menggunakan kembali kode yang diambil dari NjRAT, yang jarang terjadi di antara trojan perbankan LATAM.
Serangan dimulai dengan email phishing yang dibuat seolah faktur yang belum dibayar, yang berisi tautan yang ketika diklik, mengunduh file ZIP. Arsip tersebut dilengkapi dengan penginstal MSI yang memuat DLL trojan utama, yang kemudian mengambil alamat IP server C2 dari halaman GitHub yang tampaknya dibuat oleh pembuat malware. Tautan terakhir dalam rantai infeksi menunggu perintah dari server C2.
Jadi, jika pengguna mengunjungi situs web entitas perbankan yang diminati, Janeleiro terhubung ke server C2 dan secara dinamis menampilkan jendela sembul yang curang, dan menangkap penekanan tombol dan informasi lain yang dimasukkan dalam formulir palsu.
Alur kerja Janeleiro
ESET mengatakan telah menemukan empat versi Janeleiro antara September 2019 hingga Maret 2021.
Ini bukan pertama kalinya trojan perbankan ditemukan di alam liar yang menargetkan pengguna Brasil. Tahun lalu, Kaspersky merinci setidaknya empat keluarga malware - Guildma, Javali, Melcoz, dan Grandoreiro - ditemukan menargetkan lembaga keuangan di Brasil, Amerika Latin, dan Eropa.
Awal Januari lalu, ESET mengungkapkan trojan perbankan berbasis Delphi baru bernama "Vadokrist" yang ditemukan menargetkan Brasil secara eksklusif saat berbagi kesamaan dengan keluarga malware lain seperti Amavaldo, Casbaneiro, Grandoreiro, dan Mekotio.
"Janeleiro mengikuti cetak biru unik untuk implementasi inti jendela sembul (pop-up) palsu seperti halnya banyak trojan perbankan LATAM, ini tampaknya bukan kebetulan. Aktor ini mempekerjakan dan mendistribusikan Janeleiro yang berbagi infrastruktur yang sama dengan beberapa keluarga malware aktif yang paling terkemuka ini, "para peneliti menyimpulkan. []
