Bancos e instituciones financieras en países latinoamericanos como Brasil y México continúan siendo el objetivo de una familia de malware llamada JanelaRAT.
Una versión modificada de BX RAT, JanelaRAT es conocido por robar datos financieros y de criptomonedas asociados con entidades financieras específicas, así como rastrear entradas del mouse, registrar pulsaciones de teclas, tomar capturas de pantalla y recopilar metadatos del sistema.
"Una de las diferencias clave entre estos troyanos es que JanelaRAT utiliza un mecanismo personalizado de detección de barras de título para identificar sitios web deseados en los navegadores de las víctimas y realizar acciones maliciosas", dijo Kaspersky en un informe publicado hoy. "Los actores de amenazas detrás de las campañas de JanelaRAT actualizan continuamente la cadena de infección y las versiones del malware agregando nuevas funciones".
Los datos de telemetría recopilados por el proveedor ruso de ciberseguridad muestran que hasta 14,739 ataques fueron registrados en Brasil en 2025 y 11,695 en México. Actualmente no se sabe cuántos de estos resultaron en una compromiso exitoso.
Detectado por primera vez en la naturaleza por Zscaler en junio de 2023, JanelaRAT ha aprovechado archivos ZIP que contienen un script de Visual Basic (VBScript) para descargar un segundo archivo ZIP, que a su vez incluye un ejecutable legítimo y una carga útil DLL. La etapa final emplea la técnica de DLL side-loading para lanzar el troyano.
En un análisis posterior publicado en julio de 2025, KPMG dijo que el malware se distribuye a través de archivos instaladores MSI falsos que se hacen pasar por software legítimo alojado en plataformas confiables como GitLab. Los ataques que involucran el malware se han dirigido principalmente a Chile, Colombia y México.
"Al ejecutarse, el instalador inicia un proceso de infección de múltiples etapas utilizando scripts orquestadores escritos en Go, PowerShell y batch", señaló KPMG en ese momento. "Estos scripts desempaquetan un archivo ZIP que contiene el ejecutable del RAT, una extensión maliciosa del navegador basada en Chromium y componentes de soporte".
Los scripts también están diseñados para identificar navegadores basados en Chromium instalados y modificar sigilosamente sus parámetros de inicio (como el interruptor de línea de comandos "--load-extension") para instalar la extensión. Luego, el complemento del navegador procede a recopilar información del sistema, cookies, historial de navegación, extensiones instaladas y metadatos de pestañas, además de desencadenar acciones específicas basadas en coincidencias de patrones de URL.
La última cadena de ataque documentada por Kaspersky muestra que se utilizan correos electrónicos de phishing disfrazados de facturas pendientes para engañar a los destinatarios para que descarguen un archivo PDF haciendo clic en un enlace, lo que resulta en la descarga de un archivo ZIP que inicia la cadena de ataque mencionada que involucra DLL side-loading para instalar JanelaRAT.
Al menos desde mayo de 2024, las campañas de JanelaRAT han pasado de scripts de Visual Basic a instaladores MSI, que actúan como un dropper para el malware mediante DLL side-loading y establecen persistencia en el host creando un acceso directo de Windows (LNK) en la carpeta de inicio que apunta al ejecutable.
Al ejecutarse, el malware establece comunicaciones con un servidor de comando y control (C2) a través de un socket TCP para registrar una infección exitosa y vigila la actividad de la víctima para interceptar interacciones bancarias sensibles.
El objetivo principal de JanelaRAT es obtener el título de la ventana activa y compararlo con una lista codificada de instituciones financieras. Si hay una coincidencia, el malware espera 12 segundos antes de abrir un canal C2 dedicado y ejecutar tareas maliciosas recibidas del servidor. Algunos de los comandos compatibles incluyen:
- Enviar capturas de pantalla al servidor C2
- Recortar regiones específicas de la pantalla y exfiltrar imágenes
- Mostrar imágenes en pantalla completa (por ejemplo, "Configurando actualizaciones de Windows, espere por favor") y suplantar diálogos bancarios mediante superposiciones falsas para robar credenciales
- Capturar pulsaciones de teclas
- Simular acciones de teclado como ABAJO, ARRIBA y TAB para navegación
- Mover el cursor y simular clics
- Ejecutar un apagado forzado del sistema
- Ejecutar comandos usando "cmd.exe" y comandos o scripts de PowerShell
- Manipular el Administrador de tareas de Windows para ocultar su ventana
- Marcar la presencia de sistemas antifraude
- Enviar metadatos del sistema
- Detectar herramientas de sandbox y automatización
"El malware determina si la máquina de la víctima ha estado inactiva durante más de 10 minutos calculando el tiempo transcurrido desde la última entrada del usuario", dijo Kaspersky. "Si el período de inactividad supera los 10 minutos, el malware notifica al C2 enviando el mensaje correspondiente. Cuando el usuario reanuda la actividad, notifica al actor de amenazas nuevamente. Esto permite rastrear la presencia y rutina del usuario para programar posibles operaciones remotas".
"Esta variante representa un avance significativo en las capacidades del actor, combinando múltiples canales de comunicación, monitoreo integral de la víctima, superposiciones interactivas, inyección de entrada y características robustas de control remoto. El malware está diseñado específicamente para minimizar la visibilidad del usuario y adaptar su comportamiento al detectar software antifraude".
