# JanelaRAT Malware zielt weiterhin hartnäckig auf Finanzinstitute in Lateinamerika ab  Banken und Finanzinstitute in lateinamerikanischen Ländern wie Brasilien und Mexiko werden immer noch von einer Malware-Familie namens **JanelaRAT** angegriffen. ## JanelaRAT: Eine Tiefenanalyse Als modifizierte Version von BX RAT wurde **JanelaRAT** entwickelt, um Finanz- und Kryptowährungsdaten zu stehlen. Sie zielt auf spezifische Finanzinstitute ab und kann Maus-Eingaben verfolgen, Tastatureingaben protokollieren, Screenshots erstellen und Systemmetadaten sammeln. "Einer der Hauptunterschiede zwischen diesen Trojanern ist, dass JanelaRAT einen benutzerdefinierten Mechanismus zur Erkennung von Titelleisten verwendet, um gewünschte Websites in den Browsern der Opfer zu identifizieren und bösartige Aktionen durchzuführen", sagte **Kaspersky** in einem Bericht. "Die Bedrohungsakteure hinter JanelaRAT-Kampagnen aktualisieren kontinuierlich die Infektionskette und die Malware-Versionen, indem sie neue Funktionen hinzufügen." Telemetriedaten von **Kaspersky** deuten darauf hin, dass Brasilien im Jahr 2025 14.739 Angriffe verzeichnete, während Mexiko 11.695 Angriffe erlebte. Die Erfolgsquote dieser Angriffe bleibt unbekannt. ## Infektionsvektoren und Techniken **JanelaRAT** wurde erstmals im Juni 2023 von **Zscaler** entdeckt und verwendete zunächst ZIP-Archive, die ein Visual Basic Script (VBScript) enthielten, um eine zweite ZIP-Datei herunterzuladen. Dieses zweite Archiv enthielt eine legitime ausführbare Datei und eine DLL-Payload. Die Malware verwendete dann DLL-Side-Loading, um den Trojaner zu starten.  Eine nachfolgende Analyse von **KPMG** im Juli 2025 ergab, dass die Malware nun über bösartige MSI-Installer-Dateien verbreitet wird, die als legitime Software getarnt sind und auf vertrauenswürdigen Plattformen wie **GitLab** gehostet werden. Diese Angriffe zielten hauptsächlich auf Chile, Kolumbien und Mexiko ab. "Nach der Ausführung initiiert der Installer einen mehrstufigen Infektionsprozess unter Verwendung von Orchestrierungsskripten, die in Go, PowerShell und Batch geschrieben sind", bemerkte **KPMG**. "Diese Skripte entpacken ein ZIP-Archiv, das die RAT-Ausführungsdatei, eine bösartige Chromium-basierte Browser-Erweiterung und unterstützende Komponenten enthält." Diese Skripte identifizieren auch installierte Chromium-basierte Browser und modifizieren deren Startparameter (wie den Befehlszeilenparameter "--load-extension"), um die bösartige Erweiterung zu installieren. Das Browser-Add-on sammelt dann Systeminformationen, Cookies, den Browserverlauf, installierte Erweiterungen und Tab-Metadaten und löst basierend auf URL-Musterübereinstimmungen spezifische Aktionen aus. ## Aktuelle Angriffsketten Die neuesten Analysen von **Kaspersky** zeigen, dass Phishing-E-Mails, die als offene Rechnungen getarnt sind, Empfänger dazu verleiten, eine PDF-Datei herunterzuladen. Das Klicken auf einen Link in der PDF-Datei lädt ein ZIP-Archiv herunter, das die DLL-Side-Loading-Angriffskette initiiert, um **JanelaRAT** zu installieren. Seit Mai 2024 haben sich die **JanelaRAT**-Kampagnen von Visual Basic-Skripten auf MSI-Installer verlagert, die als Dropper für die Malware fungieren und DLL-Side-Loading verwenden. Die Persistenz wird durch die Erstellung einer Windows-Verknüpfung (LNK) im Autostart-Ordner hergestellt, die auf die ausführbare Datei verweist. ## Malware-Funktionalität Nach der Ausführung kommuniziert die Malware über einen TCP-Socket mit einem Command-and-Control (C2)-Server, um die Infektion zu registrieren und die Aktivitäten des Opfers zu überwachen, wobei sensible Bankinteraktionen abgefangen werden. Das Hauptziel von **JanelaRAT** ist es, den Titel des aktiven Fensters zu ermitteln und ihn mit einer hartkodierten Liste von Finanzinstituten zu vergleichen. Wenn eine Übereinstimmung gefunden wird, wartet die Malware 12 Sekunden, bevor sie einen dedizierten C2-Kanal öffnet und bösartige Aufgaben vom Server ausführt. Zu den unterstützten Befehlen gehören: * Senden von Screenshots an den C2-Server * Zuschneiden bestimmter Bildschirmbereiche und Exfiltrieren von Bildern * Anzeigen von Bildern im Vollbildmodus (z. B. "Windows-Updates werden konfiguriert, bitte warten") und Nachahmen von Bank-Dialogen über gefälschte Overlays, um Anmeldedaten zu stehlen * Erfassen von Tastatureingaben * Simulieren von Tastaturaktionen * Bewegen des Cursors und Simulieren von Klicks * Ausführen einer erzwungenen Systemabschaltung * Ausführen von Befehlen mit "cmd.exe" und PowerShell-Befehlen oder -Skripten * Manipulieren des Windows Task-Managers, um sein Fenster zu verbergen * Markieren der Anwesenheit von Anti-Betrugssystemen * Senden von Systemmetadaten * Erkennen von Sandbox- und Automatisierungstools **Kaspersky** bemerkte: "Die Malware ermittelt, ob der Computer des Opfers länger als 10 Minuten inaktiv war... Dies ermöglicht es, die Anwesenheit und Routine des Benutzers zu verfolgen, um mögliche Fernoperationen zu timen." Diese Variante stellt eine bedeutende Weiterentwicklung dar, die mehrere Kommunikationskanäle, umfassende Überwachung der Opfer, interaktive Overlays, Eingabeinjektion und robuste Fernsteuerungsfunktionen kombiniert. Die Malware wurde speziell entwickelt, um die Sichtbarkeit für den Benutzer zu minimieren und ihr Verhalten bei Erkennung von Anti-Betrugssoftware anzupassen.