Expertos de Kaspersky alertan sobre la evolución de JanelaRAT. Una amenaza que ahora combina robo de credenciales con la capacidad de interceptar y manipular operaciones bancarias en tiempo real.
Investigadores de Kaspersky GReAT detectaron y analizaron una nueva versión de JanelaRAT. Que se hacía pasar por una aplicación legítima de pixel art.
En línea con intrusiones y campañas previas. Los principales objetivos de los actores detrás de esta amenaza son usuarios bancarios en América Latina. Con especial enfoque en clientes de instituciones financieras en Brasil y México.
Con esta nueva versión del malware. Los atacantes manipulan al usuario para que interactúe con una pantalla superpuesta personalizada sobre la interfaz real de banca en línea. Lo que les permite iniciar el secuestro de la sesión bancaria.
JanelaRAT es un troyano de acceso remoto (RAT). Una variante fuertemente modificada del antiguo BX RAT de 2014. Que apunta principalmente a usuarios en América Latina. Especialmente en sectores bancarios, fintech y de criptomonedas.
El malware utiliza una cadena de infección de múltiples etapa. Que comienza con correos de phishing que contienen scripts maliciosos en VBS dentro de archivos comprimidos. Los cuales son abiertos por los usuarios.
En esta nueva versión (versión 33). Kaspersky ha observado variaciones en las cadenas de infección dependiendo de la variante distribuida.
La campaña más reciente emplea la técnica de DLL sideloading. La DLL cargada es, en realidad, JanelaRAT, entregado como carga final. Este monitorea la actividad de la víctima. Intercepta interacciones bancarias sensibles y establece un canal interactivo para reportar información a los atacantes. Además, rastrea la presencia y rutina del usuario para determinar el mejor momento para ejecutar operaciones remotas.
La nueva versión de JanelaRAT implementa una táctica interactiva diseñada para capturar credenciales bancarias y evadir la autenticación multifactor. Cuando detecta una ventana bancaria. El malware despliega una pantalla completa con una imagen enviada por los atacantes que imita interfaces legítimas de bancos o del sistema.
Luego, bloquea la interacción de la víctima mediante cuadros de diálogo controlados por los atacantes. Las acciones dentro de estos cuadros corresponden a operaciones específicas. Como la captura de contraseñas o de tokens de autenticación (MFA), entre otras. Entre los engaños utilizados se incluyen pantallas falsas de carga, simulaciones de actualizaciones de Windows en pantalla completa y otros elementos similares.
Además, el malware ajusta el tamaño de la superposición, analiza múltiples pantallas y carga elementos engañosos para distraer al usuario o incluso ocultar temporalmente ventanas legítimas de aplicaciones.
Para conocer más sobre cómo proteger tu vida digital, visita el blog de Kaspersky.
El Carnicero, la cadena de carnicerías más grande de Chile, anuncia el crecimiento de su…
Según los datos de Cirium, empresa de análisis de aviación, la compañía registró un 92,53%…
Porque un solo día no basta para celebrar una de las comidas favoritas de los…
La marca cuenta con un nuevo espacio en La Ciudad del Automóvil. Reforzando su crecimiento…
La compañía obtuvo nuevamente el primer lugar de su categoría en la cuarta edición del…
La marca premium continúa consolidando su propuesta en Chile con una familia de SUV preparada…