JanelaRAT: Trojan se předstírá jako aktualizace pro krádež finančních údajů
Finanční trojany se vyvíjejí a využívají falešné systémové aktualizace k odposlechu údajů bankovních karet. Rodina JanelaRAT je zaměřena na uživatele v Latinské Americe, sleduje prohlížečské relace a blokuje rozhraní podobně jako legitimní procesy.
Mechanismus šíření a instalace
Infekce probíhá prostřednictvím phishingových e-mailů, které napodobují upozornění na dluhy. Odkazy vede na weby s archivy obsahujícími MSI instalační balíčky. Tyto soubory nasazují škodlivý software, který se maskuje jako systémové komponenty Windows.
- Automatický spouštění: Přidání do registru pro spuštění při startu operačního systému.
- Obfuskace: Šifrování kódu pomocí nástrojů určených k vyhnutí se antivirům.
- Systémová maskovací technika: Vytváření souborů s neutrálními názvy a dynamické načítání knihoven.
Po instalaci trojan analyzuje prostředí: určuje oprávnění, shromažďuje informace o systému a navazuje spojení s C2 servery přes port 443 bez TLS.
Funkce sledování a útoků
JanelaRAT monitoruje aktivní okna prohlížeče a reaguje na finanční weby. Název odráží zaměření na portugalštinu "janela" (okno), což zdůrazňuje metodu detekce cílů.
Program zasahuje do relací:
- Záchyt klávesnice.
- Zachycení snímků obrazovky.
- Simulace pohybů myši.
- Blokování systému prostřednictvím nutného vypnutí.
Klíčovým prvkem jsou plnoobrazové překryvy, které napodobují bankovní rozhraní nebo aktualizace OS. Vynucují uživatele zadat přihlašovací údaje, tokeny a kódy 2FA.
Geografie a statistika hrozeb
Útoky jsou koncentrovány v Brazílii a Mexiku. V roce 2025 bylo zaznamenáno více než 14 tisíc incidentů v Brazílii a přibližně 12 tisíc v Mexiku. Trojan se přizpůsobuje místním bankám a pravidelně aktualizuje seznam cílů.
Infrastruktura C2 je dynamická: servery se mění každý den, provoz je maskován jako HTTPS.
Kontext hrozby a důsledky
Finanční trojany jako JanelaRAT odrážejí trend zjednodušení infekce při zvyšování složitosti payloadu. To zvyšuje úspěšnost útoků o 20–30 % ve srovnání s ranými verzemi, jako je BX RAT, díky samostatnému analýze oken.
Příčiny úspěchu:
- Růst phishingu v regionech s vysokým zastoupením mobilního bankovnictví.
- Nedostatečná informovanost o falešných aktualizacích.
- Přizpůsobení se regionálním platebním systémům.
Důsledky pro průmysl:
Ztráty z krádeže dat přesahují miliardy dolarů ročně v Latinské Americe. Banky posilují mnohoúčelovou autentizaci a analýzu chování, ale uživatelé zůstávají slabým článkem. Regulační orgány uvádějí požadavky na monitorování provozu, což podporuje vývoj AI detektorů.
Celkový kontext: V roce 2025 je Latinská Amerika lídrem v oblasti finančního podvodu na rozvojových trzích, kde trojany tvoří 40 % kiberneticých incidentů.
Co je důležité
- JanelaRAT kombinuje skryté sledování oken s reálným výkonem zásahu do relací.
- MSI instalační balíčky zjednodušují řetězec infekce a zvyšují konverzi útoků.
- Dynamické C2 servery komplikují blokování infrastruktury.
- Hlavní oběti jsou klienti brazilských a mexických bank.
- Evoluce z BX RAT zlepšila přesnost cílení.
— Editorial Team
Zatím žádné komentáře.