Nueva versión de malware permite secuestrar sesiones bancarias en tiempo real y apunta a usuarios en AL

 Expertos de Kaspersky alertan sobre la evolución de JanelaRAT, una amenaza que ahora combina robo de credenciales con la capacidad de interceptar y manipular operaciones bancarias en tiempo real.

Investigadores de Kaspersky GReAT detectaron y analizaron una nueva versión de JanelaRAT, que se hacía pasar por una aplicación legítima de pixel art. En línea con intrusiones y campañas previas, los principales objetivos de los actores detrás de esta amenaza son usuarios bancarios en América Latina, con especial enfoque en clientes de instituciones financieras en Brasil y México.

Con esta nueva versión del malware, los atacantes manipulan al usuario para que interactúe con una pantalla superpuesta personalizada sobre la interfaz real de banca en línea, lo que les permite iniciar el secuestro de la sesión bancaria. Según la telemetría de Kaspersky, en 2025 se registraron 14.739 ataques en Brasil y 11.695 en México relacionados con JanelaRAT.

JanelaRAT es un troyano de acceso remoto (RAT), una variante fuertemente modificada del antiguo BX RAT de 2014, que apunta principalmente a usuarios en América Latina, especialmente en sectores bancarios, fintech y de criptomonedas. El malware utiliza una cadena de infección de múltiples etapas que comienza con correos de phishing que contienen scripts maliciosos en VBS dentro de archivos comprimidos, los cuales son abiertos por los usuarios.

Correo malicioso utilizado en campañas de JanelaRAT.

En esta nueva versión (versión 33), Kaspersky ha observado variaciones en las cadenas de infección dependiendo de la variante distribuida. La campaña más reciente emplea la técnica de DLL sideloading. La DLL cargada es, en realidad, JanelaRAT, entregado como carga final. Este monitorea la actividad de la víctima, intercepta interacciones bancarias sensibles y establece un canal interactivo para reportar información a los atacantes. Además, rastrea la presencia y rutina del usuario para determinar el mejor momento para ejecutar operaciones remotas.

Sistema de superposición engañosa (decoy overlay)

La nueva versión de JanelaRAT implementa una táctica interactiva diseñada para capturar credenciales bancarias y evadir la autenticación multifactor. Cuando detecta una ventana bancaria, el malware despliega una pantalla completa con una imagen enviada por los atacantes que imita interfaces legítimas de bancos o del sistema.

Luego, bloquea la interacción de la víctima mediante cuadros de diálogo controlados por los atacantes. Las acciones dentro de estos cuadros corresponden a operaciones específicas, como la captura de contraseñas o de tokens de autenticación (MFA), entre otras. Entre los engaños utilizados se incluyen pantallas falsas de carga, simulaciones de actualizaciones de Windows en pantalla completa y otros elementos similares.

Además, el malware ajusta el tamaño de la superposición, analiza múltiples pantallas y carga elementos engañosos para distraer al usuario o incluso ocultar temporalmente ventanas legítimas de aplicaciones.