JanelaRAT: Trojan udający aktualizacje systemu w celu kradzieży danych bankowych
Trojany finansowe ewoluują, wykorzystując fałszywe aktualizacje systemowe do przechwytywania danych kart bankowych. Rodzina JanelaRAT celuje w użytkowników w Ameryce Łacińskiej, śledząc sesje przeglądarki i blokując interfejsy pod pozorem legalnych procesów.
Mechanizm rozprzestrzeniania i instalacji
Zakażenie następuje za pośrednictwem wiadomości e-mail typu phishing imitujących powiadomienia o zadłużeniach. Linki prowadzą na strony z archiwami zawierającymi instalatory MSI. Pliki te rozpowszechniają oprogramowanie szkodliwe, maskując je jako komponenty systemowe Windows.
- Autostart: Dodanie do rejestru w celu uruchomienia przy starcie systemu operacyjnego.
- Obfuskacja: Szyfrowanie kodu przy użyciu narzędzi do unikania wykrycia przez programy antywirusowe.
- Maskowanie systemowe: Tworzenie plików o neutralnych nazwach i ładowanie bibliotek.
Po instalacji trojan analizuje środowisko: określa uprawnienia dostępu, zbiera dane o systemie i nawiązuje połączenie z serwerami C2 na porcie 443 bez TLS.
Funkcje szpiegowania i ataku
JanelaRAT monitoruje aktywne okna przeglądarki, reagując na strony finansowe. Nazwa odzwierciedla skupienie na portugalskim słowie "janela" (okno), podkreślając metodę wykrywania celów.
Program ingeruje w sesje:
- Przechwytywanie wpisywania z klawiatury.
- Robienie zrzutów ekranu.
- Symulacja ruchów myszy.
- Blokowanie systemu poprzez wymuszone wyłączenie.
Kluczowym elementem są pełnoekranowe nakładki imitujące interfejsy bankowe lub aktualizacje systemu operacyjnego. Wymuszają one wprowadzanie danych logowania, tokenów i kodów 2FA.
Geografia i statystyka zagrożeń
Ataki skoncentrowane są w Brazylii i Meksyku. W 2025 roku zarejestrowano ponad 14 tysięcy incydentów w Brazylii i około 12 tysięcy w Meksyku. Trojan dostosowuje się do lokalnych banków, z regularnymi aktualizacjami listy celów.
Infrastruktura C2 jest dynamiczna: serwery zmieniają się codziennie, ruch jest maskowany jako HTTPS.
Kontekst zagrożenia i konsekwencje
Trojany finansowe takie jak JanelaRAT odzwierciedlają trend upraszczania zakażenia przy komplikowaniu payloadu. Zwiększa to skuteczność ataków o 20–30% w porównaniu do wcześniejszych wersji, takich jak BX RAT, dzięki samodzielnej analizie okien.
Przyczyny sukcesu:
- Wzrost phishingu w regionach o wysokim zasięgu bankowości mobilnej.
- Brak świadomości dotyczącej fałszywych aktualizacji.
- Dostosowanie do regionalnych systemów płatności.
Konsekwencje dla branży:
Straty wynikające z kradzieży danych przekraczają miliardy dolarów rocznie w Ameryce Łacińskiej. Banki wzmacniają uwierzytelnianie wieloskładnikowe i analizę behawioralną, ale użytkownicy pozostają słabym ogniwem. Regulatorzy wprowadzają wymagania dotyczące monitorowania ruchu, co stymuluje rozwój detektorów AI.
Ogólny kontekst: w 2025 roku Ameryka Łacińska lideruje w zakresie oszustw finansowych na rynkach rozwijających się, z udziałem trojanów w 40% incydentów cyberbezpieczeństwa.
Co jest ważne
- JanelaRAT łączy ukryty monitoring okien z interwencją w sesjach w czasie rzeczywistym.
- Instalatory MSI upraszczają łańcuch zakażenia, zwiększając konwersję ataków.
- Dynamiczne serwery C2 utrudniają blokadę infrastruktury.
- Główne ofiary to klienci brazylijskich i meksykańskich banków.
- Ewolucja od BX RAT zwiększyła precyzję targetingu.
— Editorial Team
Brak komentarzy.