Bancos e instituições financeiras em países latino-americanos como Brasil e México seguem na mira de uma família de malware chamada JanelaRAT.
O JanelaRAT é uma versão modificada do BX RAT e foi desenvolvido para roubar dados financeiros e de criptomoedas associados a entidades específicas.
Além disso, o malware monitora movimentos do mouse, registra teclas digitadas, captura screenshots e coleta metadados do sistema.
“Uma das principais diferenças entre esses trojans é que o JanelaRAT usa um mecanismo personalizado de detecção da barra de título para identificar sites desejados nos navegadores das vítimas e executar ações maliciosas”, informou a Kaspersky em relatório publicado hoje.
“Os agentes por trás das campanhas com JanelaRAT atualizam continuamente a cadeia de infecção e as versões do malware, adicionando novos recursos.”
Dados de telemetria da empresa russa de cibersegurança indicam que foram registrados até 14.739 ataques no Brasil em 2025 e 11.695 no México.
Ainda não se sabe quantos deles resultaram em comprometimento bem-sucedido.
Detectado pela primeira vez em ambiente real pela Zscaler em junho de 2023, o JanelaRAT passou a utilizar arquivos ZIP com um script em Visual Basic, o VBScript, para baixar um segundo ZIP.
Esse segundo pacote trazia um executável legítimo e uma DLL maliciosa.
Na etapa final, o trojan recorria à técnica de DLL side-loading para ser executado.
Em uma análise posterior, publicada em julho de 2025, a KPMG informou que o malware é distribuído por meio de instaladores MSI falsos que se passam por software legítimo hospedado em plataformas confiáveis como o GitLab.
Os ataques ligados a essa campanha têm como principais alvos Chile, Colômbia e México.
“Ao ser executado, o instalador inicia um processo de infecção em múltiplas etapas usando scripts orquestradores escritos em Go, PowerShell e batch”, observou a KPMG na época.
“Esses scripts descompactam um arquivo ZIP que contém o executável do RAT, uma extensão maliciosa para navegadores baseados em Chromium e componentes de suporte.”
Os scripts também foram projetados para identificar navegadores baseados em Chromium instalados no sistema e modificar discretamente seus parâmetros de inicialização, como o uso do argumento “--load-extension”, para instalar a extensão.
O complemento então coleta informações do sistema, cookies, histórico de navegação, extensões instaladas e metadados das abas, além de acionar ações específicas com base em padrões de URL.
A cadeia de ataque mais recente documentada pela Kaspersky mostra o uso de e-mails de phishing disfarçados de faturas em aberto para induzir as vítimas a clicar em um link e baixar um arquivo PDF.
Esse download leva a um arquivo ZIP que inicia a cadeia de ataque descrita anteriormente, com uso de DLL side-loading para instalar o JanelaRAT.
Pelo menos desde maio de 2024, as campanhas do JanelaRAT deixaram de usar scripts em Visual Basic e passaram a adotar instaladores MSI, que funcionam como dropper do malware por meio de DLL side-loading e garantem persistência no host ao criar um atalho do Windows, o LNK, na pasta Startup apontando para o executável.
Depois de executado, o malware se comunica com um servidor de comando e controle, ou C2, via socket TCP para registrar a infecção com sucesso e monitora a atividade da vítima para interceptar interações bancárias sensíveis.
O principal objetivo do JanelaRAT é obter o título da janela ativa e compará-lo com uma lista embutida de instituições financeiras.
Quando há correspondência, o malware espera 12 segundos antes de abrir um canal dedicado com o C2 e executar as tarefas maliciosas recebidas do servidor.
Entre os comandos suportados estão:
Envio de screenshots ao servidor C2
Recorte de áreas específicas da tela e exfiltração de imagens
Exibição de imagens em tela cheia, como “Configurando as atualizações do Windows, aguarde”, e simulação de diálogos de bancos por meio de overlays falsos para roubar credenciais
Captura de keystrokes
Simulação de ações do teclado, como DOWN, UP e TAB, para navegação
Movimentação do cursor e simulação de cliques
Execução de desligamento forçado do sistema
Execução de comandos via cmd.exe e PowerShell, incluindo scripts
Manipulação do Windows Task Manager para esconder sua janela e evitar detecção
Sinalização da presença de sistemas anti-fraude
Envio de metadados do sistema
Detecção de ferramentas de sandbox e automação
“O malware determina se a máquina da vítima ficou inativa por mais de 10 minutos calculando o tempo decorrido desde a última entrada do usuário”, afirmou a Kaspersky.
“Se o período de inatividade exceder 10 minutos, o malware notifica o C2 enviando a mensagem correspondente.
Quando a atividade do usuário retorna, ele informa o agente de ameaça novamente.
Isso permite acompanhar a presença e a rotina do usuário para programar possíveis operações remotas.”
“Essa variante representa um avanço significativo nas capacidades do agente, combinando múltiplos canais de comunicação, monitoramento abrangente da vítima, overlays interativos, injeção de entrada e recursos robustos de controle remoto.
O malware foi desenvolvido especificamente para minimizar a visibilidade ao usuário e adaptar seu comportamento quando detecta software anti-fraude.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...