# Malware JanelaRAT Ataca Persistente a Instituciones Financieras Latinoamericanas  Bancos e instituciones financieras en países latinoamericanos como Brasil y México siguen bajo ataque de una familia de malware llamada **JanelaRAT**. ## JanelaRAT: Un Análisis Profundo Una versión modificada de BX RAT, **JanelaRAT** está diseñado para robar datos financieros y de criptomonedas. Se dirige a entidades financieras específicas y puede rastrear entradas del ratón, registrar pulsaciones de teclas, tomar capturas de pantalla y recopilar metadatos del sistema. "Una de las diferencias clave entre estos troyanos es que JanelaRAT utiliza un mecanismo personalizado de detección de barras de título para identificar sitios web deseados en los navegadores de las víctimas y realizar acciones maliciosas", dijo **Kaspersky** en un informe. "Los actores de amenazas detrás de las campañas de JanelaRAT actualizan continuamente la cadena de infección y las versiones del malware agregando nuevas funcionalidades". Los datos de telemetría de **Kaspersky** indican que Brasil registró 14.739 ataques en 2025, mientras que México experimentó 11.695. La tasa de éxito de estos ataques sigue siendo desconocida. ## Vectores y Técnicas de Infección Detectado por primera vez por **Zscaler** en junio de 2023, **JanelaRAT** inicialmente utilizó archivos ZIP que contenían un Script de Visual Basic (VBScript) para descargar un segundo archivo ZIP. Este segundo archivo contenía un ejecutable legítimo y una carga útil de DLL. El malware luego usó la carga lateral de DLL para lanzar el troyano.  Un análisis posterior realizado por **KPMG** en julio de 2025 reveló que el malware ahora se distribuye a través de archivos instaladores MSI maliciosos disfrazados de software legítimo alojado en plataformas confiables como **GitLab**. Estos ataques se dirigieron principalmente a Chile, Colombia y México. "Tras la ejecución, el instalador inicia un proceso de infección de múltiples etapas utilizando scripts de orquestación escritos en Go, PowerShell y batch", señaló **KPMG**. "Estos scripts descomprimen un archivo ZIP que contiene el ejecutable del RAT, una extensión de navegador maliciosa basada en Chromium y componentes de soporte". Estos scripts también identifican los navegadores basados en Chromium instalados y modifican sus parámetros de lanzamiento (como el modificador de línea de comandos "--load-extension") para instalar la extensión maliciosa. El complemento del navegador recopila información del sistema, cookies, historial de navegación, extensiones instaladas y metadatos de pestañas, activando acciones específicas basadas en coincidencias de patrones de URL. ## Cadenas de Ataque Recientes El análisis más reciente de **Kaspersky** muestra que los correos electrónicos de phishing, disfrazados de facturas pendientes, engañan a los destinatarios para que descarguen un archivo PDF. Hacer clic en un enlace del PDF descarga un archivo ZIP que inicia la cadena de ataque de carga lateral de DLL para instalar **JanelaRAT**. Desde mayo de 2024, las campañas de **JanelaRAT** han pasado de scripts de Visual Basic a instaladores MSI, que actúan como distribuidores del malware utilizando la carga lateral de DLL. La persistencia se establece creando un Acceso Directo de Windows (LNK) en la carpeta de Inicio que apunta al ejecutable. ## Funcionalidad del Malware Tras la ejecución, el malware se comunica con un servidor de comando y control (C2) a través de un socket TCP para registrar la infección y monitorear la actividad de la víctima, interceptando interacciones bancarias sensibles. El objetivo principal de **JanelaRAT** es obtener el título de la ventana activa y compararlo con una lista codificada de instituciones financieras. Si hay una coincidencia, el malware espera 12 segundos antes de abrir un canal C2 dedicado y ejecutar tareas maliciosas del servidor. Los comandos compatibles incluyen: * Enviar capturas de pantalla al servidor C2 * Recortar regiones específicas de la pantalla y exfiltrar imágenes * Mostrar imágenes en pantalla completa (por ejemplo, "Configurando actualizaciones de Windows, espere") e impersonar diálogos con temática bancaria a través de superposiciones falsas para cosechar credenciales * Capturar pulsaciones de teclas * Simular acciones del teclado * Mover el cursor y simular clics * Ejecutar un apagado forzado del sistema * Ejecutar comandos usando "cmd.exe" y comandos o scripts de PowerShell * Manipular el Administrador de Tareas de Windows para ocultar su ventana * Marcar la presencia de sistemas antifraude * Enviar metadatos del sistema * Detectar herramientas de sandbox y automatización **Kaspersky** señaló: "El malware determina si la máquina de la víctima ha estado inactiva durante más de 10 minutos... Esto hace posible rastrear la presencia y la rutina del usuario para programar posibles operaciones remotas". Esta variante representa un avance significativo, combinando múltiples canales de comunicación, monitoreo integral de la víctima, superposiciones interactivas, inyección de entrada y robustas funciones de control remoto. El malware está diseñado específicamente para minimizar la visibilidad del usuario y adaptar su comportamiento ante la detección de software antifraude.