# Le malware JanelaRAT cible de manière persistante les institutions financières d'Amérique latine  Les banques et les institutions financières des pays d'Amérique latine comme le Brésil et le Mexique sont toujours sous la menace d'une famille de malwares appelée **JanelaRAT**. ## JanelaRAT : Une analyse approfondie Version modifiée de BX RAT, **JanelaRAT** est conçu pour voler des données financières et de cryptomonnaies. Il cible des entités financières spécifiques et peut suivre les entrées de souris, enregistrer les frappes au clavier, prendre des captures d'écran et collecter des métadonnées système. « L'une des principales différences entre ces chevaux de Troie est que JanelaRAT utilise un mécanisme personnalisé de détection de barre de titre pour identifier les sites Web souhaités dans les navigateurs des victimes et effectuer des actions malveillantes », a déclaré **Kaspersky** dans un rapport. « Les acteurs de la menace derrière les campagnes JanelaRAT mettent continuellement à jour la chaîne d'infection et les versions du malware en ajoutant de nouvelles fonctionnalités. » Les données de télémétrie de **Kaspersky** indiquent que le Brésil a subi 14 739 attaques en 2025, tandis que le Mexique en a connu 11 695. Le taux de réussite de ces attaques reste inconnu. ## Vecteurs d'infection et techniques Détecté pour la première fois par **Zscaler** en juin 2023, **JanelaRAT** utilisait initialement des archives ZIP contenant un Visual Basic Script (VBScript) pour télécharger un deuxième fichier ZIP. Cette deuxième archive contenait un exécutable légitime et une charge utile DLL. Le malware utilisait ensuite le chargement latéral de DLL pour lancer le cheval de Troie.  Une analyse ultérieure par **KPMG** en juillet 2025 a révélé que le malware est désormais distribué via des fichiers d'installation MSI non autorisés déguisés en logiciels légitimes hébergés sur des plateformes de confiance comme **GitLab**. Ces attaques ont principalement ciblé le Chili, la Colombie et le Mexique. « Lors de l'exécution, l'installeur initie un processus d'infection en plusieurs étapes en utilisant des scripts d'orchestration écrits en Go, PowerShell et batch », a noté **KPMG**. « Ces scripts décompressent une archive ZIP contenant l'exécutable du RAT, une extension de navigateur malveillante basée sur Chromium et des composants de support. » Ces scripts identifient également les navigateurs basés sur Chromium installés et modifient leurs paramètres de lancement (tels que le commutateur de ligne de commande `--load-extension`) pour installer l'extension malveillante. Le module complémentaire du navigateur collecte ensuite des informations système, des cookies, l'historique de navigation, les extensions installées et les métadonnées des onglets, déclenchant des actions spécifiques basées sur la correspondance des modèles d'URL. ## Chaînes d'attaque récentes La dernière analyse de **Kaspersky** montre que des e-mails de phishing, déguisés en factures impayées, incitent les destinataires à télécharger un fichier PDF. Le clic sur un lien dans le PDF télécharge une archive ZIP qui initie la chaîne d'attaque de chargement latéral de DLL pour installer **JanelaRAT**. Depuis mai 2024, les campagnes **JanelaRAT** sont passées des scripts Visual Basic aux installateurs MSI, qui agissent comme des déposeurs pour le malware en utilisant le chargement latéral de DLL. La persistance est établie en créant un raccourci Windows (LNK) dans le dossier Démarrage qui pointe vers l'exécutable. ## Fonctionnalités du malware Lors de l'exécution, le malware communique avec un serveur de commande et de contrôle (C2) via un socket TCP pour enregistrer l'infection et surveiller l'activité de la victime, interceptant les interactions bancaires sensibles. L'objectif principal de **JanelaRAT** est d'obtenir le titre de la fenêtre active et de le comparer à une liste codée en dur d'institutions financières. En cas de correspondance, le malware attend 12 secondes avant d'ouvrir un canal C2 dédié et d'exécuter des tâches malveillantes depuis le serveur. Les commandes prises en charge incluent : * Envoi de captures d'écran au serveur C2 * Recadrage de régions spécifiques de l'écran et exfiltration d'images * Affichage d'images en plein écran (par exemple, « Configuration des mises à jour Windows, veuillez patienter ») et imitation de dialogues bancaires via de fausses superpositions pour collecter des identifiants * Capture des frappes au clavier * Simulation d'actions clavier * Déplacement du curseur et simulation de clics * Exécution d'un arrêt forcé du système * Exécution de commandes via "cmd.exe" et de commandes ou scripts PowerShell * Manipulation du Gestionnaire des tâches Windows pour masquer sa fenêtre * Signalement de la présence de systèmes anti-fraude * Envoi de métadonnées système * Détection d'outils de sandbox et d'automatisation **Kaspersky** a noté : « Le malware détermine si la machine de la victime est restée inactive pendant plus de 10 minutes... Cela permet de suivre la présence et les routines de l'utilisateur pour planifier d'éventuelles opérations à distance. » Cette variante représente une avancée significative, combinant plusieurs canaux de communication, une surveillance complète des victimes, des superpositions interactives, l'injection d'entrées et des fonctionnalités de contrôle à distance robustes. Le malware est spécifiquement conçu pour minimiser la visibilité par l'utilisateur et adapter son comportement lors de la détection de logiciels anti-fraude.