Uma nova versão do JanelaRAT está sendo usada em ataques contra usuários de bancos no Brasil e em outros países da América Latina. O malware se disfarça como um aplicativo de pixel art para enganar vítimas e facilitar a instalação em sistemas Windows.
Esse trojan de acesso remoto (RAT) é uma evolução do antigo BX RAT, de 2014, e foi projetado para roubar credenciais bancárias e interceptar transações em tempo real, inclusive burlando autenticação em múltiplos fatores (MFA).
Ataque começa com e-mail falso
A infecção geralmente começa com campanhas de phishing. As vítimas recebem e-mails que simulam faturas ou documentos importantes, com links ou anexos maliciosos. Ao baixar e executar esses arquivos — muitas vezes disfarçados como PDFs ou ZIPs — o malware é instalado sem levantar suspeitas.
Em alguns casos, os e-mails incluem botões e instruções visuais que imitam comunicações legítimas para aumentar a taxa de sucesso do golpe.
Sobreposição de tela rouba senhas e códigos
Depois de instalado, o JanelaRAT monitora a atividade do usuário, especialmente durante acessos a serviços bancários. O diferencial dessa ameaça é o uso da técnica de sobreposição de tela.
O malware exibe janelas falsas que imitam páginas de bancos ou até alertas do sistema. Nessas telas, a vítima digita senhas, tokens e códigos de verificação, que são capturados instantaneamente pelos criminosos.
Essa abordagem permite inclusive contornar o MFA, já que os códigos são interceptados em tempo real.
Nova versão simplifica infecção e aumenta eficiência
Pesquisadores da Kaspersky identificaram mudanças na cadeia de infecção. Versões anteriores utilizavam múltiplos arquivos e scripts, como VBScript e BAT.
Agora, os atacantes adotaram instaladores no formato MSI, que parecem legítimos, mas instalam silenciosamente o malware por meio de uma DLL maliciosa. Esse método reduz a complexidade do ataque e aumenta sua eficiência.
O instalador também cria mecanismos de persistência no sistema, garantindo que o malware continue ativo mesmo após reinicializações.
Disfarce e técnicas avançadas dificultam detecção
A nova variante se apresenta como um app de pixel art e utiliza técnicas de ofuscação em .NET para dificultar a análise. Além disso, mantém comunicação constante com servidores de comando e controle (C2), usando criptografia para esconder o tráfego.
Entre as funcionalidades do malware estão:
- Monitoramento de atividade do usuário
- Captura de tela e registro de teclas
- Execução de comandos remotos
- Download de novos arquivos maliciosos
O trojan também consegue identificar quando o usuário acessa um site bancário e, nesse momento, ativa rotinas específicas para capturar dados ou até sequestrar a sessão.
Foco em fraudes financeiras na América Latina
O principal objetivo do JanelaRAT é fraude financeira. O malware atua principalmente contra usuários de instituições bancárias, com foco em países como Brasil e México.
Uma vez dentro do sistema, os criminosos conseguem acompanhar operações em tempo real e até realizar transações sem que a vítima perceba.
Como se proteger
Para reduzir os riscos, especialistas recomendam:
- Evitar abrir links ou anexos de e-mails suspeitos
- Utilizar soluções de segurança confiáveis no dispositivo
- Ativar a exibição de extensões de arquivos no Windows
- Desconfiar de arquivos executáveis disfarçados de documentos
- Não clicar em links recebidos por mensagens inesperadas
A nova campanha mostra como malwares bancários continuam evoluindo, combinando engenharia social com técnicas avançadas para contornar mecanismos de segurança e enganar usuários.
