返回首页

木马 JanelaRAT 以更新为幌子窃取银行数据

JanelaRAT 家族对巴西和墨西哥银行客户构成威胁,伪装成系统更新。该木马监控浏览器窗口、拦截数据并使用全屏覆盖。2025 年记录超过 2.6 万次攻击。

JanelaRAT:隐藏木马攻击巴西和墨西哥银行
Advertisement 728x90

JanelaRAT:伪装成更新以窃取金融数据的木马

金融木马正在不断演变,利用虚假系统更新来拦截银行卡数据。JanelaRAT 家族针对拉丁美洲用户,在合法进程的掩护下追踪浏览器会话并阻止界面。

分发与安装机制

感染通常通过模仿债务通知的钓鱼邮件发生。链接将用户导向托管包含 MSI 安装程序的存档的网站。这些文件部署恶意软件,将其伪装成 Windows 系统组件。

  • 自启动:添加到注册表以便在操作系统启动时运行。
  • 代码混淆:使用旨在逃避杀毒软件的加密工具对代码进行加密。
  • 系统伪装:创建具有中性名称的文件并加载库。

安装后,木马分析环境:确定访问权限,收集系统数据,并通过 443 端口建立与 C2 服务器的联系,且不使用 TLS。

Google AdInline article slot

监控与攻击功能

JanelaRAT 监控活动的浏览器窗口,并对金融网站做出反应。名称反映了其对葡萄牙语单词“janela”(窗口)的关注,突出了其检测目标的方法。

该程序干扰会话:

  • 捕获击键。
  • 截取屏幕截图。
  • 模拟鼠标移动。
  • 通过强制关机阻止系统。

关键元素是全屏覆盖层,模仿银行界面或操作系统更新。这会迫使用户输入凭据、令牌和双重验证代码。

Google AdInline article slot

地理分布与威胁统计

攻击集中在巴西和墨西哥。2025 年,巴西记录了超过 14,000 起事件,墨西哥约 12,000 起。该木马适应当地银行,定期更新目标列表。

C2 基础设施是动态的:服务器每天更改,流量被伪装成 HTTPS。

威胁背景与后果

像 JanelaRAT 这样的金融木马反映了一种简化感染过程但复杂化负载的趋势。这通过将自主窗口分析与早期版本(如 BX RAT)相比提高了 20–30% 的攻击成功率。

Google AdInline article slot

成功原因:

  • 高移动银行渗透率地区的网络钓鱼增长。
  • 对虚假更新缺乏意识。
  • 适应区域支付系统。

行业后果:

数据盗窃造成的损失每年超过数十亿美元。银行正在加强多因素认证和行为分析,但用户仍然是薄弱环节。监管机构正在引入流量监控要求,刺激 AI 检测器的开发。

一般背景:2025 年,拉丁美洲在新兴市场的金融欺诈中领先,木马占网络事件的 40%。

关键要点

  • JanelaRAT 结合了隐蔽的窗口监控和实时会话干扰。
  • MSI 安装程序简化了感染链,提高了攻击转化率。
  • 动态 C2 服务器使基础设施阻断复杂化。
  • 主要受害者是巴西和墨西哥银行的客户。
  • 从 BX RAT 的演变增强了目标定位精度。

— Editorial Team

Advertisement 728x90

继续阅读