`JanelaRAT` mira bancos latino-americanos e concentra 14.739 ataques no Brasil em 2025

Trojan financeiro derivado do BX RAT usa phishing, instaladores MSI, carregamento lateral de DLL e monitoramento de janelas ativas para interceptar interações bancárias.

Componente	`JanelaRAT`, família de malware financeiro derivada de uma versão modificada do `BX RAT`, voltada a bancos e instituições financeiras na América Latina.
Vetor	E-mails de phishing com tema de faturas pendentes induzem o download de um PDF e, na sequência, de um arquivo `ZIP`; campanhas anteriores também usaram scripts `VBScript` e instaladores `MSI` falsos hospedados em plataformas confiáveis como `GitLab`.
Impacto	Captura de dados financeiros e de criptomoedas vinculados a entidades específicas, registro de teclas, rastreamento de mouse, screenshots, coleta de metadados do sistema, sobreposições falsas e controle remoto condicionado à atividade do usuário.
Prioridade	Bloquear a cadeia de phishing e execução de instaladores não confiáveis, auditar persistência por atalhos `LNK` na pasta `Startup`, investigar carregamento lateral de `DLL` e monitorar conexões `TCP` de saída compatíveis com canal de `C2`.
Volume	A telemetria citada no contexto registra 14.739 ataques no Brasil e 11.695 no México em 2025; a quantidade de comprometimentos bem-sucedidos não é informada.
Artefatos	Arquivos `ZIP`, instaladores `MSI`, scripts em `Go`, `comando operacional omitido` e `batch`, extensão maliciosa baseada em `Chromium`, executável legítimo usado no fluxo e carga `DLL` carregada lateralmente.

Resumo técnico

JanelaRAT continua sendo usado contra bancos e instituições financeiras latino-americanas, com concentração expressiva no Brasil e no México em 2025. O malware é descrito como uma versão modificada do BX RAT e mantém foco financeiro: ele observa interações do usuário, identifica janelas associadas a entidades bancárias específicas e aciona funções remotas quando encontra um alvo compatível. A atividade registrada inclui 14.739 ataques no Brasil e 11.695 no México, mas o material disponível não informa quantos eventos resultaram em comprometimento efetivo, instalação persistente ou captura de credenciais.

A característica central do JanelaRAT é a detecção personalizada do título da janela ativa. Em vez de operar apenas por coleta indiscriminada, o trojan compara o título exibido no ambiente da vítima com uma lista codificada de instituições financeiras. Quando há correspondência, ele aguarda 12 segundos antes de abrir um canal dedicado de comando e controle. Esse intervalo e a lógica de validação indicam uma tentativa de sincronizar ações remotas com sessões bancárias reais, reduzindo ruído operacional e aumentando a chance de interferir em uma interação financeira em andamento.

O conjunto de capacidades documentado inclui rastreamento de movimentos e entradas do mouse, registro de teclas, screenshots, coleta de metadados do sistema, comunicação com servidor de C2 por socket TCP, uso de imagens em tela cheia para ocultar atividade e exibição de diálogos falsos com tema bancário. O malware também monitora inatividade: se a máquina permanece sem entrada do usuário por mais de 10 minutos, ele informa essa condição ao servidor; quando a atividade retorna, envia nova notificação. Para defesa, esse comportamento torna a presença do usuário um sinal operacional importante, porque o operador tenta escolher janelas de ação em que a vítima esteja ativa ou ausente.

Fluxo técnico

A cadeia mais recente descrita começa com phishing de fatura pendente. O destinatário é conduzido a clicar em um link para obter um PDF, e esse fluxo resulta no download de um arquivo ZIP. A partir desse pacote, a instalação segue um padrão de múltiplos estágios que culmina em carregamento lateral de DLL. O objetivo do carregamento lateral é fazer com que um executável legítimo carregue uma biblioteca maliciosa no mesmo diretório ou em um caminho controlado pelo atacante, permitindo que o trojan seja iniciado dentro de uma cadeia que aparenta ser menos suspeita do que a execução direta de um binário desconhecido.

Historicamente, o malware já usou arquivos ZIP com VBScript para baixar um segundo ZIP, que continha um executável legítimo e uma carga DLL. Pelo menos desde maio de 2024, as campanhas migraram para instaladores MSI que atuam como dropper. Esse dropper instala o malware por carregamento lateral de DLL e cria persistência por meio de um atalho LNK na pasta Startup do Windows, apontando para o executável que participa da cadeia. Essa mudança reduz a dependência de scripts visíveis ao usuário e aproveita mecanismos comuns de instalação em ambientes corporativos.

Em análise posterior, também foi descrito um fluxo com instaladores MSI fraudulentos se passando por software legítimo e hospedados em plataformas confiáveis, incluindo GitLab. Nesse modelo, a execução do instalador inicia scripts de orquestração em Go, comando operacional omitido e batch, que desempacotam um ZIP com o executável do RAT, uma extensão maliciosa baseada em Chromium e componentes auxiliares. O contexto não fornece nomes de arquivos, hashes, domínios ou parâmetros, portanto a análise defensiva deve priorizar o comportamento: instalador inesperado, extração de múltiplos componentes, presença de extensão de navegador fora do fluxo corporativo aprovado e criação de persistência no perfil do usuário.

Depois de iniciado, o JanelaRAT registra a infecção junto ao servidor de C2 por uma conexão TCP. A partir daí, passa a acompanhar a atividade do usuário para interceptar interações bancárias sensíveis. Quando identifica uma janela cujo título corresponde à lista interna de alvos financeiros, ele aciona uma lógica específica para esse contexto, abre comunicação dedicada e aguarda tarefas do servidor. Entre as funções descritas estão sobreposições interativas, injeção de entrada, controle remoto robusto e medidas para reduzir visibilidade ao usuário. O malware também pode alterar o comportamento quando detecta software antifraude, mas o contexto não detalha produtos, assinaturas ou técnicas específicas.

Superfície afetada

A superfície primária envolve estáções Windows usadas por usuários que acessam bancos, corretoras, carteiras ou serviços financeiros associados às entidades monitoradas pelo malware. O risco não depende apenas da presença do trojan no host; ele aumenta quando a vítima executa o instalador ou pacote entregue por phishing e posteriormente inicia uma sessão em navegador ou aplicação cujo título de janela coincide com a lista codificada. Como a campanha usa temas de fatura pendente, áreas financeiras, contas a pagar, atendimento, backoffice e usuários com rotina de acesso a bancos são alvos plausíveis dentro de organizações.

O Brasil aparece como o país com maior volume registrado no conjunto citado, seguido pelo México. O contexto também menciona campanhas com foco em Chile, Colômbia e México em análises anteriores, o que indica uso regional do malware contra o setor financeiro latino-americano. A informação disponível não autoriza concluir quais instituições foram comprometidas nem quais ambientes tiveram sucesso na infecção. O que fica confirmado é o direcionamento por contexto financeiro e a dependência de artefatos locais no endpoint, especialmente MSI, ZIP, DLL, atalhos LNK e componentes de navegador.

Estáções Windows que executam instaladores MSI ou pacotes ZIP recebidos a partir de phishing com tema de fatura.
Perfis de usuário com persistência por atalho LNK na pasta Startup apontando para executável relacionado à cadeia.
Navegadores ou aplicações com títulos de janela associados a instituições financeiras presentes na lista interna do malware.
Ambientes em que extensões baseadas em Chromium possam ser adicionadas fora do inventário aprovado.

Hunting e telemetria

A caça deve combinar telemetria de e-mail, endpoint, navegação e rede. No e-mail, o padrão relevante é uma mensagem de cobrança ou fatura que direciona o usuário a um PDF e desencadeia download posterior de ZIP. No endpoint, os sinais mais fortes são execução de MSI não reconhecido, extração de arquivos em cadeia, invocação de scripts de orquestração em Go, comando operacional omitido ou batch, presença de executável legítimo acompanhado de DLL incomum e criação de atalho LNK em Startup. Como o contexto não fornece hashes, a detecção por comportamento é mais defensável do que uma lista fixa de indicadores.

Na rede, conexões TCP de saída após a execução do instalador ou após abertura de janelas bancárias devem receber atenção. O malware registra a infecção no C2 e abre canal dedicado quando detecta título de janela compatível, portanto a correlação temporal entre execução local, navegação bancária e conexões externas anômalas pode ser decisiva. Em EDR, eventos de screenshot, captura de teclado, interação com janelas, manipulação de sobreposições em tela cheia e tentativa de ocultar janelas do Gerenciador de Tarefas são sinais úteis quando aparecem junto de persistência e carregamento lateral.

A telemetria de navegador também importa quando houver extensão maliciosa baseada em Chromium no fluxo. Inventários de extensões devem registrar instalação fora de política, origem incomum, permissões sensíveis e associação temporal com instaladores recentes. Para equipes de fraude e segurança bancária, vale correlacionar reclamações de janelas falsas, mensagens de atualização do Windows em tela cheia durante sessão financeira, diálogos bancários inesperados e alterações bruscas de atividade remota. Esses sintomas não confirmam JanelaRAT isoladamente, mas ajudam a priorizar hosts para análise forense.

E-mail com tema de fatura pendente seguido por download de PDF e posterior obtenção de ZIP.
Execução de MSI desconhecido que extrai componentes adicionais e cria persistência por LNK em Startup.
Executável legítimo carregando DLL inesperada a partir de diretório controlado pelo usuário ou por instalador recente.
Conexões TCP de saída após abertura de janelas bancárias ou após detecção de atividade do usuário.
Instalação de extensão baseada em Chromium fora do catálogo aprovado e próxima temporalmente ao evento de infecção.
Eventos de tela cheia, sobreposição falsa, screenshot, keylogging, entrada remota ou tentativa de ocultação no Gerenciador de Tarefas.

Mitigação

A resposta deve começar pelo bloqueio da cadeia de entrega. Controles de e-mail precisam tratar mensagens de fatura pendente com links externos, PDFs que redirecionam para arquivos compactados e downloads de ZIP como eventos de alto risco quando direcionados a usuários com acesso financeiro. Em endpoints, a política deve restringir execução de instaladores MSI não aprovados, registrar origem do arquivo e impedir que pacotes baixados da internet criem persistência sem validação. Como a campanha já usou plataformas confiáveis para hospedar instaladores falsos, a reputação do domínio de hospedagem não deve ser usada como único critério de confiança.

Em hosts suspeitos, a contenção exige isolar a máquina, preservar artefatos de disco e memória quando possível, coletar histórico de execução, revisar a pasta Startup, identificar atalhos LNK recentes e mapear pares de executável e DLL criados no mesmo período. A investigação deve incluir extensões de navegador, tarefas de inicialização, conexões TCP recentes e eventos de interação com janelas. Senhas bancárias, credenciais corporativas e segredos acessados a partir do host devem ser considerados em risco se houver evidência de captura de teclado, sobreposição falsa ou controle remoto durante sessão autenticada.

A validação pós-remediação deve confirmar que não restaram atalhos de inicialização, extensões não autorizadas, componentes extraídos pelo dropper nem executáveis usados para carregamento lateral. Regras de bloqueio devem focar a combinação de MSI suspeito, extração de ZIP, criação de LNK em Startup, carregamento lateral de DLL e comunicação TCP anômala. Para reduzir reincidência, usuários expostos a processos financeiros devem receber controles adicionais de navegação, isolamento de sessão bancária, inventário rigoroso de extensões e alertas de EDR para screenshots, keylogging e manipulação de interface.

Bloquear ou submeter a análise instaladores MSI e arquivos ZIP obtidos por links em e-mails de cobrança.
Auditar a pasta Startup por atalhos LNK criados recentemente e associados a executáveis fora do inventário.
Investigar pares de executável legítimo e DLL incomum como possível carregamento lateral.
Revisar extensões baseadas em Chromium instaladas fora da política corporativa.
Isolar endpoints com evidência de sobreposição falsa, captura de teclado, screenshots ou comunicação TCP de saída suspeita.
Rotacionar credenciais usadas em sessões financeiras a partir de máquinas com indícios de infecção.

`JanelaRAT` mira bancos latino-americanos e concentra 14.739 ataques no Brasil em 2025

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

`JanelaRAT` mira bancos latino-americanos e concentra 14.739 ataques no Brasil em 2025

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato