Powrót do strony głównej

Trojan JanelaRAT kradnie dane bankowe pod pozorem aktualizacji

Rodzina JanelaRAT stanowi zagrożenie dla klientów banków w Brazylii i Meksyku, maskując się pod systemowe aktualizacje. Trojan monitoruje okna przeglądarki, przechwytuje dane i wykorzystuje pełnoekranowe nakładki. W 2025 roku zarejestrowano ponad 26 tysięcy ataków.

JanelaRAT: ukryty trojan atakuje banki Brazylii i Meksyku
Advertisement 728x90

JanelaRAT: Trojan udający aktualizacje systemu w celu kradzieży danych bankowych

Trojany finansowe ewoluują, wykorzystując fałszywe aktualizacje systemowe do przechwytywania danych kart bankowych. Rodzina JanelaRAT celuje w użytkowników w Ameryce Łacińskiej, śledząc sesje przeglądarki i blokując interfejsy pod pozorem legalnych procesów.

Mechanizm rozprzestrzeniania i instalacji

Zakażenie następuje za pośrednictwem wiadomości e-mail typu phishing imitujących powiadomienia o zadłużeniach. Linki prowadzą na strony z archiwami zawierającymi instalatory MSI. Pliki te rozpowszechniają oprogramowanie szkodliwe, maskując je jako komponenty systemowe Windows.

  • Autostart: Dodanie do rejestru w celu uruchomienia przy starcie systemu operacyjnego.
  • Obfuskacja: Szyfrowanie kodu przy użyciu narzędzi do unikania wykrycia przez programy antywirusowe.
  • Maskowanie systemowe: Tworzenie plików o neutralnych nazwach i ładowanie bibliotek.

Po instalacji trojan analizuje środowisko: określa uprawnienia dostępu, zbiera dane o systemie i nawiązuje połączenie z serwerami C2 na porcie 443 bez TLS.

Google AdInline article slot

Funkcje szpiegowania i ataku

JanelaRAT monitoruje aktywne okna przeglądarki, reagując na strony finansowe. Nazwa odzwierciedla skupienie na portugalskim słowie "janela" (okno), podkreślając metodę wykrywania celów.

Program ingeruje w sesje:

  • Przechwytywanie wpisywania z klawiatury.
  • Robienie zrzutów ekranu.
  • Symulacja ruchów myszy.
  • Blokowanie systemu poprzez wymuszone wyłączenie.

Kluczowym elementem są pełnoekranowe nakładki imitujące interfejsy bankowe lub aktualizacje systemu operacyjnego. Wymuszają one wprowadzanie danych logowania, tokenów i kodów 2FA.

Google AdInline article slot

Geografia i statystyka zagrożeń

Ataki skoncentrowane są w Brazylii i Meksyku. W 2025 roku zarejestrowano ponad 14 tysięcy incydentów w Brazylii i około 12 tysięcy w Meksyku. Trojan dostosowuje się do lokalnych banków, z regularnymi aktualizacjami listy celów.

Infrastruktura C2 jest dynamiczna: serwery zmieniają się codziennie, ruch jest maskowany jako HTTPS.

Kontekst zagrożenia i konsekwencje

Trojany finansowe takie jak JanelaRAT odzwierciedlają trend upraszczania zakażenia przy komplikowaniu payloadu. Zwiększa to skuteczność ataków o 20–30% w porównaniu do wcześniejszych wersji, takich jak BX RAT, dzięki samodzielnej analizie okien.

Google AdInline article slot

Przyczyny sukcesu:

  • Wzrost phishingu w regionach o wysokim zasięgu bankowości mobilnej.
  • Brak świadomości dotyczącej fałszywych aktualizacji.
  • Dostosowanie do regionalnych systemów płatności.

Konsekwencje dla branży:

Straty wynikające z kradzieży danych przekraczają miliardy dolarów rocznie w Ameryce Łacińskiej. Banki wzmacniają uwierzytelnianie wieloskładnikowe i analizę behawioralną, ale użytkownicy pozostają słabym ogniwem. Regulatorzy wprowadzają wymagania dotyczące monitorowania ruchu, co stymuluje rozwój detektorów AI.

Ogólny kontekst: w 2025 roku Ameryka Łacińska lideruje w zakresie oszustw finansowych na rynkach rozwijających się, z udziałem trojanów w 40% incydentów cyberbezpieczeństwa.

Co jest ważne

  • JanelaRAT łączy ukryty monitoring okien z interwencją w sesjach w czasie rzeczywistym.
  • Instalatory MSI upraszczają łańcuch zakażenia, zwiększając konwersję ataków.
  • Dynamiczne serwery C2 utrudniają blokadę infrastruktury.
  • Główne ofiary to klienci brazylijskich i meksykańskich banków.
  • Ewolucja od BX RAT zwiększyła precyzję targetingu.

— Editorial Team

Advertisement 728x90

Czytaj dalej