🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Bancos e instituições financeiras em países latino-americanos como Brasil e México continuaram a ser alvo de uma família de malware chamada JanelaRAT.
Uma versão modificada do BX RAT, o JanelaRAT é conhecido por roubar dados financeiros e de criptomoeda associados a entidades financeiras específicas, bem como rastrear entradas do mouse, registrar pressionamentos de teclas, fazer capturas de tela e coletar metadados do sistema.
“Uma das principais diferenças entre esses trojans é que o JanelaRAT usa um mecanismo de detecção de barra de título personalizado para identificar sites desejados nos navegadores das vítimas e realizar ações maliciosas”, disse Kaspersky em relatório publicado hoje. “Os agentes de ameaças por trás das campanhas JanelaRAT atualizam continuamente a cadeia de infecção e as versões de malware, adicionando novos recursos.”
Dados de telemetria coletados pelo fornecedor russo de segurança cibernética mostram que 14.739 ataques foram registrados no Brasil em 2025 e 11.695 no México. Atualmente não se sabe quantos deles resultaram em um compromisso bem-sucedido.
Detectado pela primeira vez por Zscaler em junho de 2023, JanelaRAT aproveitou arquivos ZIP contendo um script Visual Basic (VBScript) para baixar um segundo arquivo ZIP, que, por sua vez, vem com um executável legítimo e uma carga útil DLL. O estágio final emprega a técnica de carregamento lateral de DLL para iniciar o trojan.
Em uma análise subsequente publicada em julho de 2025, a KPMG disse que o malware é distribuído por meio de arquivos do instalador MSI desonestos, disfarçados de software legítimo hospedado em plataformas confiáveis como o GitLab. Os ataques envolvendo o malware focaram principalmente no Chile, na Colômbia e no México.
“Após a execução, o instalador inicia um processo de infecção em vários estágios usando scripts de orquestração escritos em Go, PowerShell e lote”, observou a KPMG na época. "Esses scripts descompactam um arquivo ZIP contendo o executável RAT, uma extensão maliciosa de navegador baseada em Chromium e componentes de suporte."
Os scripts também são projetados para identificar navegadores baseados em Chromium instalados e modificar furtivamente seus parâmetros de inicialização (como a opção de linha de comando "--load-extension") para instalar a extensão. O complemento do navegador então coleta informações do sistema, cookies, histórico de navegação, extensões instaladas e metadados de guias, além de acionar ações específicas com base em correspondências de padrões de URL.
A última cadeia de ataque documentada pela Kaspersky mostra que e-mails de phishing disfarçados de faturas pendentes são usados para induzir os destinatários a baixar um arquivo PDF clicando em um link, resultando no download de um arquivo ZIP que inicia a cadeia de ataque mencionada acima, envolvendo carregamento lateral de DLL para instalar o JanelaRAT.
Pelo menos desde maio de 2024, as campanhas JanelaRAT mudaram de scripts Visual Basic para instaladores MSI, que atuam como um conta-gotas para o malware usando carregamento lateral de DLL e estabelecem persistência no host criando um atalho do Windows (LNK) na pasta Inicialização que aponta para o executável.
Após a execução, o malware estabelece comunicações com um servidor de comando e controle (C2) por meio de um soquete TCP para registrar uma infecção bem-sucedida e monitora a atividade da vítima para interceptar interações bancárias confidenciais.
O principal objetivo do JanelaRAT é obter o título da janela ativa e compará-lo com uma lista codificada de instituições financeiras. Se houver correspondência, o malware espera 12 segundos antes de abrir um canal C2 dedicado e executar tarefas maliciosas recebidas do servidor. Alguns dos comandos suportados incluem -
Enviando capturas de tela para o servidor C2
Cortar regiões específicas da tela e exfiltrar imagens
Exibição de imagens em modo de tela inteira (por exemplo, "Configurando atualizações do Windows, aguarde") e representação de caixas de diálogo com tema de banco por meio de sobreposições falsas para coletar credenciais
Capturando teclas digitadas
Simulando ações do teclado como DOWN, UP e TAB para navegação
Movendo o cursor e simulando cliques
Executando um desligamento forçado do sistema
Executando comandos usando "cmd.exe" e comandos ou scripts do PowerShell
Manipulando o Gerenciador de Tarefas do Windows para impedir que sua janela seja detectada
Sinalização da presença de sistemas antifraude
Enviando metadados do sistema
Detectando sandbox e ferramentas de automação
“O malware determina se a máquina da vítima ficou inativa por mais de 10 minutos, calculando o tempo decorrido desde a última entrada do usuário”, disse Kaspersky. “Se o período de inatividade exceder 10 minutos, o malware notifica o C2 enviando a mensagem correspondente. Após a atividade do usuário, ele notifica novamente o ator da ameaça.
“Esta variante representa um avanço significativo nas capacidades do ator, combinando múltiplos canais de comunicação, monitoramento abrangente de vítimas, sobreposições interativas, injeção de entrada e recursos robustos de controle remoto.
Uma versão modificada do BX RAT, o JanelaRAT é conhecido por roubar dados financeiros e de criptomoeda associados a entidades financeiras específicas, bem como rastrear entradas do mouse, registrar pressionamentos de teclas, fazer capturas de tela e coletar metadados do sistema.
“Uma das principais diferenças entre esses trojans é que o JanelaRAT usa um mecanismo de detecção de barra de título personalizado para identificar sites desejados nos navegadores das vítimas e realizar ações maliciosas”, disse Kaspersky em relatório publicado hoje. “Os agentes de ameaças por trás das campanhas JanelaRAT atualizam continuamente a cadeia de infecção e as versões de malware, adicionando novos recursos.”
Dados de telemetria coletados pelo fornecedor russo de segurança cibernética mostram que 14.739 ataques foram registrados no Brasil em 2025 e 11.695 no México. Atualmente não se sabe quantos deles resultaram em um compromisso bem-sucedido.
Detectado pela primeira vez por Zscaler em junho de 2023, JanelaRAT aproveitou arquivos ZIP contendo um script Visual Basic (VBScript) para baixar um segundo arquivo ZIP, que, por sua vez, vem com um executável legítimo e uma carga útil DLL. O estágio final emprega a técnica de carregamento lateral de DLL para iniciar o trojan.
Em uma análise subsequente publicada em julho de 2025, a KPMG disse que o malware é distribuído por meio de arquivos do instalador MSI desonestos, disfarçados de software legítimo hospedado em plataformas confiáveis como o GitLab. Os ataques envolvendo o malware focaram principalmente no Chile, na Colômbia e no México.
“Após a execução, o instalador inicia um processo de infecção em vários estágios usando scripts de orquestração escritos em Go, PowerShell e lote”, observou a KPMG na época. "Esses scripts descompactam um arquivo ZIP contendo o executável RAT, uma extensão maliciosa de navegador baseada em Chromium e componentes de suporte."
Os scripts também são projetados para identificar navegadores baseados em Chromium instalados e modificar furtivamente seus parâmetros de inicialização (como a opção de linha de comando "--load-extension") para instalar a extensão. O complemento do navegador então coleta informações do sistema, cookies, histórico de navegação, extensões instaladas e metadados de guias, além de acionar ações específicas com base em correspondências de padrões de URL.
A última cadeia de ataque documentada pela Kaspersky mostra que e-mails de phishing disfarçados de faturas pendentes são usados para induzir os destinatários a baixar um arquivo PDF clicando em um link, resultando no download de um arquivo ZIP que inicia a cadeia de ataque mencionada acima, envolvendo carregamento lateral de DLL para instalar o JanelaRAT.
Pelo menos desde maio de 2024, as campanhas JanelaRAT mudaram de scripts Visual Basic para instaladores MSI, que atuam como um conta-gotas para o malware usando carregamento lateral de DLL e estabelecem persistência no host criando um atalho do Windows (LNK) na pasta Inicialização que aponta para o executável.
Após a execução, o malware estabelece comunicações com um servidor de comando e controle (C2) por meio de um soquete TCP para registrar uma infecção bem-sucedida e monitora a atividade da vítima para interceptar interações bancárias confidenciais.
O principal objetivo do JanelaRAT é obter o título da janela ativa e compará-lo com uma lista codificada de instituições financeiras. Se houver correspondência, o malware espera 12 segundos antes de abrir um canal C2 dedicado e executar tarefas maliciosas recebidas do servidor. Alguns dos comandos suportados incluem -
Enviando capturas de tela para o servidor C2
Cortar regiões específicas da tela e exfiltrar imagens
Exibição de imagens em modo de tela inteira (por exemplo, "Configurando atualizações do Windows, aguarde") e representação de caixas de diálogo com tema de banco por meio de sobreposições falsas para coletar credenciais
Capturando teclas digitadas
Simulando ações do teclado como DOWN, UP e TAB para navegação
Movendo o cursor e simulando cliques
Executando um desligamento forçado do sistema
Executando comandos usando "cmd.exe" e comandos ou scripts do PowerShell
Manipulando o Gerenciador de Tarefas do Windows para impedir que sua janela seja detectada
Sinalização da presença de sistemas antifraude
Enviando metadados do sistema
Detectando sandbox e ferramentas de automação
“O malware determina se a máquina da vítima ficou inativa por mais de 10 minutos, calculando o tempo decorrido desde a última entrada do usuário”, disse Kaspersky. “Se o período de inatividade exceder 10 minutos, o malware notifica o C2 enviando a mensagem correspondente. Após a atividade do usuário, ele notifica novamente o ator da ameaça.
“Esta variante representa um avanço significativo nas capacidades do ator, combinando múltiplos canais de comunicação, monitoramento abrangente de vítimas, sobreposições interativas, injeção de entrada e recursos robustos de controle remoto.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #malware #janelarat #atinge #bancos #latinoamericanos #com #14.739 #ataques #no #brasil #em #2025
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário