Los bancos e instituciones financieras de países latinoamericanos como Brasil y México han seguido siendo el objetivo de una clan de malware citación VentanaRAT.
JanelaRAT, una traducción modificada de BX RAT, es conocida por robar datos financieros y de criptomonedas asociados con entidades financieras específicas, así como por rastrear entradas del mouse, registrar pulsaciones de teclas, tomar capturas de pantalla y compendiar metadatos del sistema.
“Una de las diferencias esencia entre estos troyanos es que JanelaRAT utiliza un mecanismo de detección de mostrador de título personalizado para identificar los sitios web deseados en los navegadores de las víctimas y realizar acciones maliciosas”, dijo Kaspersky en un referencia publicado hoy. “Los actores de amenazas detrás de las campañas de JanelaRAT actualizan continuamente la dependencia de infección y las versiones del malware agregando nuevas funciones”.
Los datos de telemetría recopilados por el proveedor ruso de ciberseguridad muestran que se registraron hasta 14.739 ataques en Brasil en 2025 y 11.695 en México. Actualmente no se sabe cuántos de ellos resultaron en un compromiso exitoso.
Detectado por primera vez en la naturaleza por Zscaler en junio de 2023, JanelaRAT aprovechó archivos ZIP que contienen un script Visual Basic (VBScript) para descargar un segundo archivo ZIP, que, a su vez, viene con un ejecutable seguro y una carga útil DLL. La etapa final emplea la técnica de carga supletorio de DLL para iniciar el troyano.
En un investigación posterior publicado en julio de 2025, KPMG dijo que el malware se distribuye a través de archivos de instalación MSI falsos que se hacen acaecer por software seguro alojado en plataformas confiables como GitLab. Los ataques relacionados con el malware se han centrado principalmente en Pimiento, Colombia y México.
“Tras la ejecución, el instalador inicia un proceso de infección de varias etapas utilizando scripts de orquestación escritos en Go, PowerShell y por lotes”, señaló KPMG en ese momento. “Estos scripts descomprimen un archivo ZIP que contiene el ejecutable RAT, una extensión de navegador maliciosa basada en Chromium y componentes de soporte”.
Los scripts incluso están diseñados para identificar los navegadores basados en Chromium instalados y modificar sigilosamente sus parámetros de inicio (como el interruptor de carrera de comando “–load-extension”) para instalar la extensión. Luego, el complemento del navegador procede a compendiar información del sistema, cookies, historial de navegación, extensiones instaladas y metadatos de pestañas, encima de activar acciones específicas basadas en coincidencias de patrones de URL.
La última dependencia de ataque documentada por Kaspersky muestra que los correos electrónicos de phishing disfrazados de facturas pendientes se utilizan para engañar a los destinatarios para que descarguen un archivo PDF haciendo clic en un enlace, lo que resulta en la descarga de un archivo ZIP que inicia la dependencia de ataque ayer mencionada que involucra la carga supletorio de DLL para instalar JanelaRAT.
Al menos desde mayo de 2024, las campañas de JanelaRAT han pasado de los scripts de Visual Basic a los instaladores MSI, que actúan como un cuentagotas para el malware mediante la carga supletorio de DLL y establecen persistencia en el host mediante la creación de un acercamiento directo de Windows (LNK) en la carpeta de Inicio que apunta al ejecutable.
Tras su ejecución, el malware establece comunicaciones con un servidor de comando y control (C2) a través de un socket TCP para registrar una infección exitosa y controla la actividad de la víctima para interceptar interacciones bancarias confidenciales.
El objetivo principal de JanelaRAT es obtener el título de la ventana activa y compararlo con una repertorio codificada de instituciones financieras. Si hay una coincidencia, el malware paciencia 12 segundos ayer de cascar un canal C2 dedicado y ejecutar las tareas maliciosas recibidas del servidor. Algunos de los comandos admitidos incluyen:
- Pedido de capturas de pantalla al servidor C2
- Recortar regiones específicas de la pantalla y extraer imágenes
- Mostrar imágenes en modo de pantalla completa (por ejemplo, “Configurando actualizaciones de Windows, espere”) y hacerse acaecer por cuadros de diálogo con temas bancarios mediante superposiciones falsas para compendiar credenciales
- Capturando pulsaciones de teclas
- Disimular acciones del teclado como ABAJO, ARRIBA y TAB para navegación
- Mover el cursor y disimular clics
- Ejecutar un mate forzado del sistema
- Ejecutar comandos usando “cmd.exe” y comandos o scripts de PowerShell
- Manipular el Administrador de tareas de Windows para ocultar su ventana para que no sea detectada
- Señalar la presencia de sistemas antifraude
- Pedido de metadatos del sistema
- Detección de sandbox y herramientas de automatización
“El malware determina si la máquina de la víctima ha estado inactiva durante más de 10 minutos calculando el tiempo transcurrido desde la última entrada del beneficiario”, dijo Kaspersky. “Si el período de inactividad supera los 10 minutos, el malware notifica al C2 enviando el mensaje correspondiente. Tras la actividad del beneficiario, notifica nuevamente al actor de la amenaza. Esto hace posible rastrear la presencia y la rutina del beneficiario para cronometrar posibles operaciones remotas”.
“Esta modificación representa un avance significativo en las capacidades del actor, combinando múltiples canales de comunicación, monitoreo integral de víctimas, superposiciones interactivas, inyección de entrada y funciones robustas de control remoto. El malware está diseñado específicamente para minimizar la visibilidad del beneficiario y adaptar su comportamiento al detectar software antifraude”.
