JanelaRAT: 금융 데이터 탈취를 위한 업데이트 위장 트로이목마
금융 트로이목마가 진화하고 있습니다. 가짜 시스템 업데이트를 활용하여 은행 카드 데이터를 가로채고 있습니다. JanelaRAT 패밀리는 라틴 아메리카 사용자를 대상으로 하며, 합법적인 프로세스를 가장하여 브라우저 세션을 추적하고 인터페이스를 차단합니다.
분포 및 설치 메커니즘
감염은 채무 통지서를 모방한 피싱 이메일을 통해 발생합니다. 링크는 MSI 설치 파일이 포함된 아카이브를 호스팅하는 사이트로 사용자를 안내합니다. 이러한 파일은 악성코드를 배포하며, 이를 Windows 시스템 구성 요소인 것처럼 위장합니다.
- 자동 시작: OS 부팅 시 실행되도록 레지스트리에 추가됩니다.
- 난독화: 안티바이러스 소프트웨어를 회피하도록 설계된 도구를 사용하여 코드가 암호화됩니다.
- 시스템 마스킹: 중립적인 이름의 파일 생성 및 라이브러리 로딩.
설치 후 트로이목마는 환경을 분석합니다: 접근 권한을 결정하고, 시스템 데이터를 수집하며, TLS 없이 포트 443 을 통해 C2 서버와 연락을 설정합니다.
감시 및 공격 기능
JanelaRAT 는 활성 브라우저 창을 모니터링하며 금융 웹사이트에 반응합니다. 이름은 포르투갈어 단어 "janela"(창) 에 초점을 맞추고 있어 표적을 감지하는 방식을 강조합니다.
프로그램은 세션에 간섭합니다:
- 키 입력 캡처.
- 스크린샷 촬영.
- 마우스 움직임 시뮬레이션.
- 강제 종료로 시스템 차단.
핵심 요소는 은행 인터페이스 또는 OS 업데이트를 모방하는 전체 화면 오버레이입니다. 이는 사용자가 자격 증명, 토큰 및 2FA 코드를 입력하도록 강요합니다.
지리적 위치 및 위협 통계
공격은 브라질과 멕시코에 집중되어 있습니다. 2025 년 브라질에서는 14,000 건 이상, 멕시코에서는 약 12,000 건의 사건이 기록되었습니다. 트로이목마는 현지 은행에 적응하며 대상 목록에 대한 정기적인 업데이트를 제공합니다.
C2 인프라는 역동적입니다: 서버는 매일 변경되며 트래픽은 HTTPS 로 위장됩니다.
위협 맥락 및 결과
JanelaRAT 와 같은 금융 트로이목마는 감염을 단순화하면서 페이로드를 복잡하게 만드는 추세를 반영합니다. 이는 자율 창 분석 덕분에 BX RAT 와 같은 이전 버전보다 공격 성공률을 20–30% 증가시킵니다.
성공 이유:
- 모바일 뱅킹 침투율이 높은 지역의 피싱 증가.
- 가짜 업데이트에 대한 인식 부족.
- 지역 결제 시스템에 대한 적응.
산업에 미치는 영향:
데이터 유실로 인한 손실이 라틴 아메리카에서 연간 수십억 달러를 초과합니다. 은행들은 다중 인증 및 행동 분석을 강화하고 있지만, 사용자는 여전히 약점입니다. 규제 기관은 트래픽 모니터링 요구 사항을 도입하여 AI 탐지기 개발을 자극하고 있습니다.
일반적 맥락: 2025 년 라틴 아메리카는 신흥 시장 중 금융 사기에서 선두를 차지하며, 트로이목마는 사이버 사건의 40% 를 차지합니다.
주요 요약
- JanelaRAT 는 은밀한 창 감시와 실시간 세션 간섭을 결합합니다.
- MSI 설치 파일은 감염 체인을 단순화하여 공격 전환율을 높입니다.
- 역동적인 C2 서버는 인프라 차단을 복잡하게 만듭니다.
- 주요 피해자는 브라질 및 멕시코 은행 고객입니다.
- BX RAT 에서의 진화는 타겟팅 정밀도를 향상시켰습니다.
— Editorial Team
아직 댓글이 없습니다.