JanelaRAT: Troyano se disfraza de actualizaciones para robar datos financieros
Los troyanos financieros están evolucionando, utilizando falsas actualizaciones del sistema para interceptar datos de tarjetas bancarias. La familia JanelaRAT tiene como objetivo a usuarios en América Latina, rastreando sesiones de navegador y bloqueando interfaces bajo la apariencia de procesos legítimos.
Mecanismo de Distribución e Instalación
La infección ocurre mediante correos electrónicos de phishing que imitan notificaciones de deuda. Los enlaces dirigen a los usuarios a sitios que alojan archivos comprimidos con instaladores MSI. Estos archivos despliegan el malware, disfrazándolo como componentes del sistema Windows.
- Autocarga: Se añade al registro para iniciarse al arrancar el SO.
- Ofuscación: Código cifrado utilizando herramientas diseñadas para evadir el software antivirus.
- Máscara del Sistema: Creación de archivos con nombres neutros y carga de bibliotecas.
Tras la instalación, el troyano analiza el entorno: determina los derechos de acceso, recopila datos del sistema y establece contacto con servidores C2 a través del puerto 443 sin TLS.
Funciones de Vigilancia y Ataque
JanelaRAT monitorea las ventanas activas del navegador, reaccionando ante sitios web financieros. El nombre refleja un enfoque en la palabra portuguesa "janela" (ventana), destacando su método de detección de objetivos.
El programa interfiere con las sesiones:
- Capturando pulsaciones de teclas.
- Tomando capturas de pantalla.
- Simulando movimientos del ratón.
- Bloqueando el sistema mediante apagado forzado.
Un elemento clave son las superposiciones en pantalla completa que imitan interfaces bancarias o actualizaciones del SO. Estas obligan a los usuarios a ingresar credenciales, tokens y códigos de autenticación de dos factores (2FA).
Geografía y Estadísticas de Amenazas
Los ataques se concentran en Brasil y México. En 2025, se registraron más de 14,000 incidentes en Brasil y aproximadamente 12,000 en México. El troyano se adapta a los bancos locales, con actualizaciones regulares a la lista de objetivos.
La infraestructura C2 es dinámica: los servidores cambian diariamente y el tráfico se enmascara como HTTPS.
Contexto de la Amenaza y Consecuencias
Los troyanos financieros como JanelaRAT reflejan una tendencia a simplificar la infección mientras se complica la carga útil. Esto aumenta las tasas de éxito del ataque entre un 20% y un 30% en comparación con versiones anteriores como BX RAT, gracias al análisis autónomo de ventanas.
Razones del Éxito:
- Crecimiento del phishing en regiones con alta penetración de banca móvil.
- Falta de conciencia sobre las actualizaciones falsas.
- Adaptación a los sistemas de pago regionales.
Consecuencias para la Industria:
Las pérdidas por robo de datos superan los miles de millones de dólares anualmente en América Latina. Los bancos están fortaleciendo la autenticación multifactor y el análisis de comportamiento, pero los usuarios siguen siendo el eslabón débil. Los reguladores están introduciendo requisitos de monitoreo de tráfico, estimulando el desarrollo de detectores de IA.
Contexto general: En 2025, América Latina lidera el fraude financiero entre los mercados emergentes, con troyanos representando el 40% de los incidentes cibernéticos.
Puntos Clave
- JanelaRAT combina la vigilancia silenciosa de ventanas con la interferencia de sesión en tiempo real.
- Los instaladores MSI simplifican la cadena de infección, aumentando la conversión del ataque.
- Los servidores C2 dinámicos complican el bloqueo de la infraestructura.
- Las víctimas principales son clientes de bancos brasileños y mexicanos.
- La evolución desde BX RAT ha mejorado la precisión del objetivo.
— Editorial Team
Aún no hay comentarios.