Mon, 13 Apr 2026
← VoltarO malware JanelaRAT tem como alvo bancos na América Latina, roubando dados financeiros e criptográficos com técnicas avançadas de espionagem. O malware é continuamente atualizado com novos recursos.
Bancos e instituições financeiras em países latino-americanos como Brasil e México continuaram a ser alvo de uma família de malware chamada JanelaRAT. Uma versão modificada do BX RAT, o JanelaRAT é conhecido por roubar dados financeiros e de criptomoeda associados a entidades financeiras específicas, bem como rastrear entradas do mouse, registrar pressionamentos de teclas, fazer capturas de tela e coletar metadados do sistema. “Uma das principais diferenças entre esses trojans é que o JanelaRAT usa um mecanismo de detecção de barra de título personalizado para identificar sites desejados nos navegadores das vítimas e realizar ações maliciosas”, disse Kaspersky em relatório publicado hoje. “Os agentes de ameaças por trás das campanhas JanelaRAT atualizam continuamente a cadeia de infecção e as versões de malware, adicionando novos recursos.” Dados de telemetria coletados pelo fornecedor russo de segurança cibernética mostram que 14.739 ataques foram registrados no Brasil em 2025 e 11.695 no México.
Atualmente não se sabe quantos deles resultaram em um compromisso bem-sucedido. Detectado pela primeira vez por Zscaler em junho de 2023, JanelaRAT aproveitou arquivos ZIP contendo um script Visual Basic (VBScript) para baixar um segundo arquivo ZIP, que, por sua vez, vem com um executável legítimo e uma carga útil DLL. O estágio final emprega a técnica de carregamento lateral de DLL para iniciar o trojan. Em uma análise subsequente publicada em julho de 2025, a KPMG disse que o malware é distribuído por meio de arquivos do instalador MSI desonestos, disfarçados de software legítimo hospedado em plataformas confiáveis como o GitLab.
Os ataques envolvendo o malware focaram principalmente no Chile, na Colômbia e no México. “Após a execução, o instalador inicia um processo de infecção em vários estágios usando scripts de orquestração escritos em Go, PowerShell e lote”, observou a KPMG na época. "Esses scripts descompactam um arquivo ZIP contendo o executável RAT, uma extensão maliciosa de navegador baseada em Chromium e componentes de suporte." Os scripts também são projetados para identificar navegadores baseados em Chromium instalados e modificar furtivamente seus parâmetros de inicialização (como a opção de linha de comando "--load-extension") para instalar a extensão. O complemento do navegador então coleta informações do sistema, cookies, histórico de navegação, extensões instaladas e metadados de guias, além de acionar ações específicas com base em correspondências de padrões de URL.
A última cadeia de ataque documentada pela Kaspersky mostra que e-mails de phishing disfarçados de faturas pendentes são usados para induzir os destinatários a baixar um arquivo PDF clicando em um link, resultando no download de um arquivo ZIP que inicia a cadeia de ataque mencionada acima, envolvendo carregamento lateral de DLL para instalar o JanelaRAT. Pelo menos desde maio de 2024, as campanhas JanelaRAT mudaram de scripts Visual Basic para instaladores MSI, que atuam como um conta-gotas para o malware usando carregamento lateral de DLL e estabelecem persistência no host criando um atalho do Windows (LNK) na pasta Inicialização que aponta para o executável. Após a execução, o malware estabelece comunicações com um servidor de comando e controle (C2) por meio de um soquete TCP para registrar uma infecção bem-sucedida e monitora a atividade da vítima para interceptar interações bancárias confidenciais. O principal objetivo do JanelaRAT é obter o título da janela ativa e compará-lo com uma lista codificada de instituições financeiras.
Se houver correspondência, o malware espera 12 segundos antes de abrir um canal C2 dedicado e executar tarefas maliciosas recebidas do servidor. Alguns dos comandos suportados incluem - Envio de capturas de tela para o servidor C2 Corte de regiões específicas da tela e exfiltração de imagens Exibição de imagens em modo de tela cheia (por exemplo, "Configurando atualizações do Windows, aguarde") e personificação de c aixas de diálogo com tema de banco por meio de sobreposições falsas para coletar credenciais Captura de pressionamentos de tecla Simulação de ações de teclado como DOWN, UP e TAB para navegação Mover o cursor e simular cliques Execução de um desligamento forçado do sistema Execução de comandos usando "cmd.exe" e comandos do PowerShell ou scripts Manipular o Gerenciador de Tarefas do Windows para impedir que sua janela seja detectada Sinalizar a presença de sistemas antifraude Envio de metadados do sistema Detectar sandbox e ferramentas de automação "O malware determina se a máquina da vítima ficou inativa por mais de 10 minutos calculando o tempo decorrido desde a última entrada do usuário", disse Kaspersky. “Se o período de inatividade exceder 10 minutos, o malware notifica o C2 enviando a mensagem correspondente. Após a atividade do usuário, ele notifica novamente o ator da ameaça.
"Esta variante representa um avanço significativo nas capacidades do ator, combinando vários canais de comunicação, monitoramento abrangente de vítimas, sobreposições interativas, injeção de entrada e recursos robustos de controle remoto. O malware é projetado especificamente para minimizar a visibilidade do usuário e adaptar seu comportamento após a detecção de software antifraude."