JanelaRAT: Trojaner tarnt sich als Update, um Finanzdaten zu stehlen
Finanzielle Trojaner werden immer ausgefeilter und nutzen gefälschte Systemupdates, um Bankkartendaten abzufangen. Die Familie JanelaRAT zielt auf Nutzer in Lateinamerika ab, überwacht Browser-Sitzungen und blockiert Schnittstellen unter dem Deckmantel legitimer Prozesse.
Verbreitung und Installationsmechanismus
Die Infektion erfolgt über Phishing-E-Mails, die Schuldenmitteilungen imitieren. Links führen Nutzer zu Seiten mit Archiven, die MSI-Installer enthalten. Diese Dateien platzieren Malware und tarnen sie als Windows-Systemkomponenten.
- Autostart: Wird hinzugefügt, um beim OS-Start automatisch zu starten.
- Verschleierung: Code verschlüsselt mit Tools zur Umgehung von Antivirensoftware.
- Systemmaskierung: Erstellung von Dateien mit neutralen Namen und Laden von Bibliotheken.
Nach der Installation analysiert der Trojaner die Umgebung: Ermittelt Zugriffsrechte, sammelt Systemdaten und stellt Kontakt zu C2-Servern über Port 443 ohne TLS her.
Überwachung und Angriffsfunktionen
JanelaRAT überwacht aktive Browserfenster und reagiert auf Finanzwebsites. Der Name spiegelt den Fokus auf das portugiesische Wort „Janela" (Fenster) wider und hebt seine Methode zur Zielerkennung hervor.
Das Programm greift in Sitzungen ein:
- Erfassen von Tastatureingaben.
- Anfertigen von Bildschirmaufnahmen.
- Simulieren von Mausbewegungen.
- Blockieren des Systems durch erzwungene Herunterfahren.
Ein Schlüsselelement sind Vollbild-Overlays, die Bank-Oberflächen oder OS-Updates nachahmen. Diese zwingen Nutzer dazu, Anmeldedaten, Tokens und 2FA-Codes einzugeben.
Geografie und Bedrohungsstatistik
Angriffe konzentrieren sich auf Brasilien und Mexiko. Im Jahr 2025 wurden in Brasilien über 14.000 Vorfälle registriert und etwa 12.000 in Mexiko. Der Trojaner passt sich lokalen Banken an, mit regelmäßigen Aktualisierungen der Zielgruppe.
Die C2-Infrastruktur ist dynamisch: Server wechseln täglich, und der Verkehr wird als HTTPS getarnt.
Bedrohungskontext und Konsequenzen
Finanzielle Trojaner wie JanelaRAT spiegeln einen Trend wider, die Infektion zu vereinfachen, während die Payload komplexer wird. Dies erhöht die Erfolgsquote von Angriffen um 20–30 % im Vergleich zu früheren Versionen wie BX RAT, dank autonomer Fensteranalyse.
Gründe für den Erfolg:
- Zunahme von Phishing in Regionen mit hoher Mobile-Banking-Durchdringung.
- Mangelndes Bewusstsein bezüglich gefälschter Updates.
- Anpassung an regionale Zahlungssysteme.
Konsequenzen für die Branche:
Verluste durch Datendiebstahl übersteigen jährlich Milliarden von Dollar in Lateinamerika. Banken stärken die Multi-Faktor-Authentifizierung und Verhaltensanalyse, doch Nutzer bleiben das schwächste Glied. Regulierungsbehörden führen Anforderungen zur Verkehrsüberwachung ein und stimulieren die Entwicklung von KI-Detektoren.
Allgemeiner Kontext: Lateinamerika führt 2025 bei finanziellen Betrügereien unter Schwellenländern an, wobei Trojaner 40 % der Cyber-Vorfälle ausmachen.
Wichtige Erkenntnisse
- JanelaRAT kombiniert stille Fensterüberwachung mit Echtzeit-Sitzungseingriffen.
- MSI-Installer vereinfachen die Infektionskette und erhöhen die Konversionsrate.
- Dynamische C2-Server erschweren die Infrastrukturblockade.
- Hauptopfer sind Kunden brasilianischer und mexikanischer Banken.
- Die Evolution von BX RAT hat die Zielprecision verbessert.
— Editorial Team
Noch keine Kommentare.