# Malware JanelaRAT Ataca Instituições Financeiras na América Latina com Persistência  Bancos e instituições financeiras em países latino-americanos como Brasil e México ainda estão sob ataque de uma família de malware chamada **JanelaRAT**. ## JanelaRAT: Uma Análise Profunda Uma versão modificada do BX RAT, o **JanelaRAT** é projetado para roubar dados financeiros e de criptomoedas. Ele visa entidades financeiras específicas e pode rastrear entradas do mouse, registrar pressionamentos de tecla, tirar capturas de tela e coletar metadados do sistema. "Uma das principais diferenças entre esses trojans é que o JanelaRAT usa um mecanismo personalizado de detecção de barra de título para identificar sites desejados nos navegadores das vítimas e realizar ações maliciosas", disse a **Kaspersky** em um relatório. "Os atores de ameaças por trás das campanhas do JanelaRAT atualizam continuamente a cadeia de infecção e as versões do malware, adicionando novos recursos." Dados de telemetria da **Kaspersky** indicam que o Brasil registrou 14.739 ataques em 2025, enquanto o México experimentou 11.695. A taxa de sucesso desses ataques permanece desconhecida. ## Vetores de Infecção e Técnicas Primeiro detectado pela **Zscaler** em junho de 2023, o **JanelaRAT** inicialmente usava arquivos ZIP contendo um Visual Basic Script (VBScript) para baixar um segundo arquivo ZIP. Este segundo arquivo continha um executável legítimo e um payload DLL. O malware então usava DLL side-loading para lançar o trojan.  Uma análise subsequente pela **KPMG** em julho de 2025 revelou que o malware agora é distribuído via arquivos instaladores MSI maliciosos disfarçados de software legítimo hospedado em plataformas confiáveis como o **GitLab**. Esses ataques visaram principalmente Chile, Colômbia e México. "Após a execução, o instalador inicia um processo de infecção multi-estágio usando scripts de orquestração escritos em Go, PowerShell e batch", observou a **KPMG**. "Esses scripts descompactam um arquivo ZIP contendo o executável do RAT, uma extensão de navegador maliciosa baseada em Chromium e componentes de suporte." Esses scripts também identificam navegadores baseados em Chromium instalados e modificam seus parâmetros de inicialização (como o switch de linha de comando "--load-extension") para instalar a extensão maliciosa. O add-on do navegador coleta informações do sistema, cookies, histórico de navegação, extensões instaladas e metadados de abas, acionando ações específicas com base em correspondências de padrões de URL. ## Cadeias de Ataque Recentes A análise mais recente da **Kaspersky** mostra que e-mails de phishing, disfarçados de faturas pendentes, enganam os destinatários para baixar um arquivo PDF. Clicar em um link no PDF baixa um arquivo ZIP que inicia a cadeia de ataque de DLL side-loading para instalar o **JanelaRAT**. Desde maio de 2024, as campanhas do **JanelaRAT** mudaram de scripts Visual Basic para instaladores MSI, que atuam como droppers para o malware usando DLL side-loading. A persistência é estabelecida criando um Atalho do Windows (LNK) na pasta de Inicialização que aponta para o executável. ## Funcionalidade do Malware Após a execução, o malware se comunica com um servidor de comando e controle (C2) via um socket TCP para registrar a infecção e monitorar a atividade da vítima, interceptando interações bancárias sensíveis. O objetivo principal do **JanelaRAT** é obter o título da janela ativa e compará-lo com uma lista codificada de instituições financeiras. Se houver uma correspondência, o malware espera 12 segundos antes de abrir um canal C2 dedicado e executar tarefas maliciosas do servidor. Os comandos suportados incluem: * Envio de capturas de tela para o servidor C2 * Recorte de regiões específicas da tela e exfiltração de imagens * Exibição de imagens em tela cheia (por exemplo, "Configurando atualizações do Windows, por favor, aguarde") e personificação de diálogos com tema bancário via sobreposições falsas para coletar credenciais * Captura de pressionamentos de tecla * Simulação de ações de teclado * Movimentação do cursor e simulação de cliques * Execução de um desligamento forçado do sistema * Execução de comandos usando "cmd.exe" e comandos ou scripts do PowerShell * Manipulação do Gerenciador de Tarefas do Windows para ocultar sua janela * Sinalização da presença de sistemas antifraude * Envio de metadados do sistema * Detecção de sandbox e ferramentas de automação A **Kaspersky** observou: "O malware determina se a máquina da vítima ficou inativa por mais de 10 minutos... Isso possibilita rastrear a presença e a rotina do usuário para programar possíveis operações remotas." Esta variante representa um avanço significativo, combinando múltiplos canais de comunicação, monitoramento abrangente da vítima, sobreposições interativas, injeção de entrada e recursos robustos de controle remoto. O malware é projetado especificamente para minimizar a visibilidade do usuário e adaptar seu comportamento ao detectar software antifraude.