CIUDAD DE MÉXICO.- Una nueva variante de troyano bancario denominada Janeleiro.mx está atacando a tarjetahabientes de bancos grandes en México y a titulares de cuentas de criptomonedas para robar credenciales, contraseñas, códigos, cuentas de correo electrónico y otra información sensible.
Ocelot, el Equipo de Seguridad Ofensiva de la empresa de ciberseguridad Metabase Q, detectó en México una campaña activa del troyano Janeleiro.mx para atacar a usuarios corporativos y lograr accesos no autorizados a la banca en línea de las cuentas de las víctimas.
Esta nueva variante de troyano crea formularios falsos que imitan a los principales bancos del País como BBVA, Santander, Banorte, HSBC, Scotiabank, Bajío, Banregio y la plataforma de criptomonedas Bitso.
Estos formularios se activan dependiendo del portal financiero al que acceda la víctima mostrando ventanas falsas que dicen ser actualizaciones de alertas de seguridad, credenciales de acceso al banco o NIP, datos de contacto y verificación de contraseñas.
La investigación de Ocelot y Metabase Q detectó sitios que aparentemente están comprometidos y que alojan el malware; por ejemplo, el sitio activamente usado y que descarga a Janeleiro.mx desde el 26 de enero del 2021 es morningstarlincoln.co.uk.
La forma en que los ciberatacantes implantan este malware en las máquinas de sus víctimas es a través del envío de correos dirigidos que descargan la nueva variante Janeleiro.mx desde sitios web legítimos pero comprometidos.
Una vez que el malware está en el equipo, monitorea el navegador de la víctima esperando a que se conecte a una banca en línea mexicana, para entonces generar ventanas emergentes falsas, que simulan ser formularios legítimos de los bancos más importantes.
El objetivo de los formularios falsos es engañar a las víctimas para que ingresen sus credenciales bancarias e información personal, y así lograr el acceso no autorizado a sus cuentas bancarias, explicó la compañía en su investigación.
Una vez que se logra infectar el equipo, Janeleiro.mx monitorea activamente las ventanas que la víctima abre en el equipo y compara el nombre de dichas ventanas con un arreglo que contiene los nombres de los posibles bancos a los que intentará acceder la víctima.
Cuando el malware detecta la interacción con alguna de estas ventanas, se conecta al servidor del grupo atacante para empezar con la manipulación de los formularios bancarios y poder obtener información sensible de la víctima.
La compañía recomendó fortalecer las capacidades de monitoreo, detección y erradicación de este tipo de amenazas a través de la simulación proactiva de ataques en las instituciones.
