Малверот JanelaRAT ги таргетира латиноамериканските банки со 14.739 напади во Бразил во 2025 година

Банките и финансиските институции во латиноамерикански земји како Бразил и Мексико продолжуваат да бидат цел на семејство малвер наречено JanelaRAT.

Модифицирана верзија на BX RAT, JanelaRAT е познат по тоа што краде финансиски и криптовалутни податоци поврзани со одредени финансиски ентитети, како и што следи движења на глувчето, ги снима притиснатите копчиња (keystrokes), прави снимки од екранот и собира системски метаподатоци.

„Една од клучните разлики помеѓу овие тројанци е тоа што JanelaRAT користи прилагоден механизам за детекција на насловната лента (title bar) за да ги идентификува посакуваните веб-страници во прелистувачите на жртвите и да изврши злонамерни активности“, соопшти Kaspersky во извештај објавен денес. „Актерите на закани зад кампањите на JanelaRAT постојано го ажурираат синџирот на инфекција и верзиите на малверот со додавање нови функции.“

Телеметриските податоци собрани од руската компанија за сајбер-безбедност покажуваат дека дури 14.739 напади биле регистрирани во Бразил во 2025 година и 11.695 во Мексико. Во моментов не е познато колку од овие резултирале со успешна компромитација.

Првпат детектиран во реална средина од страна на Zscaler во јуни 2023 година, JanelaRAT користел ZIP архиви кои содржат Visual Basic Script (VBScript) за да преземе втора ZIP датотека, која пак содржи легитимен извршен фајл и DLL payload. Финалната фаза ја користи техниката DLL side-loading за да го стартува тројанецот.

Во последователна анализа објавена во јули 2025 година, KPMG соопшти дека малверот се дистрибуира преку лажни MSI инсталациски датотеки кои се претставуваат како легитимен софтвер хостиран на доверливи платформи како GitLab. Нападите со овој малвер главно ги таргетирале Чиле, Колумбија и Мексико.

„По извршувањето, инсталерот иницира повеќестепен процес на инфекција користејќи оркестрирачки скрипти напишани во Go, PowerShell и batch“, истакна KPMG тогаш. „Овие скрипти распакуваат ZIP архива која содржи извршна RAT датотека, злонамерна екстензија за прелистувач базирана на Chromium и придружни компоненти.“

Скриптите се исто така дизајнирани да ги идентификуваат инсталираните прелистувачи базирани на Chromium и незабележливо да ги модифицираат нивните параметри за стартување (како што е командната линија „–load-extension“) со цел да ја инсталираат екстензијата. Потоа, додатокот за прелистувач собира системски информации, колачиња (cookies), историја на прелистување, инсталирани екстензии и метаподатоци за јазичиња, како и извршува одредени активности врз основа на совпаѓање на URL-обрасци.

Најновиот синџир на напади документиран од Kaspersky покажува дека фишинг е-пораки маскирани како неплатени фактури се користат за да ги измамат примателите да преземат PDF датотека преку кликнување на линк, што резултира со преземање на ZIP архива која го иницира претходно опишаниот напад, вклучувајќи DLL side-loading за инсталирање на JanelaRAT.

Најмалку од мај 2024 година, кампањите на JanelaRAT преминале од Visual Basic скрипти кон MSI инсталери, кои служат како „dropper“ за малверот преку DLL side-loading и обезбедуваат постојаност на системот (persistence) преку креирање Windows Shortcut (LNK) во Startup папката што покажува кон извршната датотека.

По извршувањето, малверот воспоставува комуникација со сервер за команда и контрола (C2) преку TCP сокет за да регистрира успешна инфекција и ја следи активноста на жртвата со цел да пресретне чувствителни банкарски интеракции.

Главната цел на JanelaRAT е да го добие насловот на активниот прозорец и да го спореди со вградена листа на финансиски институции. Ако има совпаѓање, малверот чека 12 секунди пред да отвори посебен C2 канал и да изврши злонамерни задачи добиени од серверот. Некои од поддржаните команди вклучуваат:

• Испраќање снимки од екранот до C2 серверот
• Сечење на специфични делови од екранот и ексфилтрација на слики
• Прикажување слики на цел екран (на пр. „Configuring Windows updates, please wait“) и имитација на банкарски дијалози преку лажни overlay прозорци за крадење акредитиви
• Снимање на притиснати копчиња (keystrokes)
• Симулирање тастатурни акции како DOWN, UP и TAB за навигација
• Поместување на курсорот и симулирање кликови
• Присилно исклучување на системот
• Извршување команди преку „cmd.exe“ и PowerShell
• Манипулирање со Windows Task Manager за да се сокрие неговиот прозорец
• Детекција на анти-фрод системи
• Испраќање системски метаподатоци
• Детекција на sandbox и алатки за автоматизација

„Малверот утврдува дали машината на жртвата била неактивна повеќе од 10 минути со пресметување на времето од последниот кориснички внес“, наведува Kaspersky. „Ако периодот на неактивност надмине 10 минути, малверот го известува C2 серверот со соодветна порака. Кога корисникот повторно ќе стане активен, повторно го известува напаѓачот. Ова овозможува следење на присуството и навиките на корисникот за да се темпираат можни далечински операции.“

„Оваа варијанта претставува значителен напредок во способностите на напаѓачите, комбинирајќи повеќе комуникациски канали, сеопфатно следење на жртвата, интерактивни overlay елементи, инјектирање на внесови и напредни функции за далечинска контрола. Малверот е специјално дизајниран да ја минимизира видливоста за корисникот и да го прилагодува своето однесување при детекција на анти-фрод софтвер.“

Извори:

• The Hacker News – JanelaRAT Malware Targets Latin American Banks with 14,739 Attacks in Brazil in 2025 The Hacker News