JanelaRAT : Un cheval de Troie se déguise en mises à jour pour voler des données financières
Les chevaux de Troie financiers évoluent, exploitant de fausses mises à jour système pour intercepter les données des cartes bancaires. La famille JanelaRAT cible les utilisateurs en Amérique latine, surveillant les sessions de navigation et bloquant les interfaces sous couvert de processus légitimes.
Distribution et mécanisme d'installation
L'infection survient via des e-mails de hameçonnage imitant des notifications de dette. Les liens redirigent vers des sites hébergeant des archives contenant des installateurs MSI. Ces fichiers déploient le malware en le faisant passer pour des composants système Windows.
- Autodémarrage : Ajouté au registre pour se lancer au démarrage du OS.
- Obfuscation : Code chiffré avec des outils conçus pour contourner les logiciels antivirus.
- Masquage système : Création de fichiers aux noms neutres et chargement de bibliothèques.
Après installation, le cheval de Troie analyse l'environnement : détermine les droits d'accès, collecte les données système et établit un contact avec les serveurs C2 sur le port 443 sans TLS.
Fonctions de surveillance et d'attaque
JanelaRAT surveille les fenêtres de navigateur actives, réagissant aux sites financiers. Le nom reflète une focalisation sur le mot portugais « janela » (fenêtre), soulignant sa méthode de détection des cibles.
Le programme interfère avec les sessions :
- Capturer les frappes au clavier.
- Prendre des captures d'écran.
- Simuler les mouvements de la souris.
- Bloquer le système via un arrêt forcé.
Un élément clé est les superpositions plein écran imitant des interfaces bancaires ou des mises à jour du système d'exploitation. Cela force les utilisateurs à saisir leurs identifiants, jetons et codes de double authentification.
Géographie et statistiques de la menace
Les attaques sont concentrées au Brésil et au Mexique. En 2025, plus de 14 000 incidents ont été enregistrés au Brésil et environ 12 000 au Mexique. Le cheval de Troie s'adapte aux banques locales, avec des mises à jour régulières de la liste des cibles.
L'infrastructure C2 est dynamique : les serveurs changent quotidiennement et le trafic est masqué comme du HTTPS.
Contexte de la menace et conséquences
Les chevaux de Troie financiers comme JanelaRAT reflètent une tendance à simplifier l'infection tout en compliquant le charge utile. Cela augmente les taux de succès des attaques de 20 à 30 % par rapport aux versions antérieures comme BX RAT, grâce à l'analyse autonome des fenêtres.
Raisons du succès :
- Croissance du hameçonnage dans les régions à forte pénétration de la banque mobile.
- Manque de sensibilisation concernant les fausses mises à jour.
- Adaptation aux systèmes de paiement régionaux.
Conséquences pour l'industrie :
Pertes dues au vol de données dépassant des milliards de dollars annuellement en Amérique latine. Les banques renforcent l'authentification multifacteur et l'analyse comportementale, mais les utilisateurs restent le maillon faible. Les régulateurs introduisent des exigences de surveillance du trafic, stimulant le développement de détecteurs IA.
Contexte général : En 2025, l'Amérique latine mène la fraude financière parmi les marchés émergents, les chevaux de Troie représentant 40 % des incidents cybernétiques.
Points clés
- JanelaRAT combine une surveillance discrète des fenêtres avec une interférence en temps réel des sessions.
- Les installateurs MSI simplifient la chaîne d'infection, augmentant la conversion des attaques.
- Les serveurs C2 dynamiques compliquent le blocage de l'infrastructure.
- Les victimes principales sont les clients des banques brésiliennes et mexicaines.
- L'évolution depuis BX RAT a amélioré la précision du ciblage.
— Editorial Team
Aucun commentaire pour le moment.