Исследователи обнаружили новый банковский троян, который поражает цели в Бразилии.

Троян назвали Janeleiro, и он фокусируется на жертвах из Бразилии. Его уже использовали в кибератаках, целью которых были компании из сектора здравоохранения, машиностроения, торговли, финансов и промышленности. Операторы также использовали малварь, чтобы проникнуть в системы правительства.

Этот троян похож на остальные, уже действующие внутри страны (Casbaneiro, Grandoreiro и Mekotio). Однако он написан на языке .NET в отличие от них.

Злоумышленники рассылают фишинговые сообщения с якобы неоплаченными счетами. Эти сообщения содержат ссылки на скомпрометированные серверы и на скачивание архивов .zip. Когда жертва распаковывает архив, троянская программа начинает распространяться.

Но сначала троян проверяет геолокацию IP-адреса жертвы. Если код страны – не Бразилия, малварь закроется. Если же Бразилия, то малварь соберет некоторые данные с ОС и выберет адрес сервера контроля и управления на специальной странице на GitHub.

Оператор использовал GitHub, чтобы хранить файлы со списками серверов контроля и управления.

GitHub уже уведомили об аккаунте злоумышленников и их действиях.

Источник: secure news