JanelaRAT:伪装成更新以窃取金融数据的木马
金融木马正在不断演变,利用虚假系统更新来拦截银行卡数据。JanelaRAT 家族针对拉丁美洲用户,在合法进程的掩护下追踪浏览器会话并阻止界面。
分发与安装机制
感染通常通过模仿债务通知的钓鱼邮件发生。链接将用户导向托管包含 MSI 安装程序的存档的网站。这些文件部署恶意软件,将其伪装成 Windows 系统组件。
- 自启动:添加到注册表以便在操作系统启动时运行。
- 代码混淆:使用旨在逃避杀毒软件的加密工具对代码进行加密。
- 系统伪装:创建具有中性名称的文件并加载库。
安装后,木马分析环境:确定访问权限,收集系统数据,并通过 443 端口建立与 C2 服务器的联系,且不使用 TLS。
监控与攻击功能
JanelaRAT 监控活动的浏览器窗口,并对金融网站做出反应。名称反映了其对葡萄牙语单词“janela”(窗口)的关注,突出了其检测目标的方法。
该程序干扰会话:
- 捕获击键。
- 截取屏幕截图。
- 模拟鼠标移动。
- 通过强制关机阻止系统。
关键元素是全屏覆盖层,模仿银行界面或操作系统更新。这会迫使用户输入凭据、令牌和双重验证代码。
地理分布与威胁统计
攻击集中在巴西和墨西哥。2025 年,巴西记录了超过 14,000 起事件,墨西哥约 12,000 起。该木马适应当地银行,定期更新目标列表。
C2 基础设施是动态的:服务器每天更改,流量被伪装成 HTTPS。
威胁背景与后果
像 JanelaRAT 这样的金融木马反映了一种简化感染过程但复杂化负载的趋势。这通过将自主窗口分析与早期版本(如 BX RAT)相比提高了 20–30% 的攻击成功率。
成功原因:
- 高移动银行渗透率地区的网络钓鱼增长。
- 对虚假更新缺乏意识。
- 适应区域支付系统。
行业后果:
数据盗窃造成的损失每年超过数十亿美元。银行正在加强多因素认证和行为分析,但用户仍然是薄弱环节。监管机构正在引入流量监控要求,刺激 AI 检测器的开发。
一般背景:2025 年,拉丁美洲在新兴市场的金融欺诈中领先,木马占网络事件的 40%。
关键要点
- JanelaRAT 结合了隐蔽的窗口监控和实时会话干扰。
- MSI 安装程序简化了感染链,提高了攻击转化率。
- 动态 C2 服务器使基础设施阻断复杂化。
- 主要受害者是巴西和墨西哥银行的客户。
- 从 BX RAT 的演变增强了目标定位精度。
— Editorial Team
暂无评论。