Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
JanelaRAT assedia le banche latinoamericane: 26mila attacchi tra Brasile e Messico, furti e controllo remoto invisibili
JanelaRAT è un malware bancario che sta colpendo con continuità istituti finanziari in America Latina, con un picco di attività registrato soprattutto in Brasile e Messico. I dati di telemetria indicano 14739 attacchi in Brasile nel 2025 e 11695 in Messico, numeri che confermano una pressione costante sul settore bancario e sui servizi legati anche alle criptovalute.
JanelaRAT deriva da una variante modificata di BX RAT e si distingue per capacità avanzate di furto dati e controllo remoto, tra cui keylogging, screenshot, tracciamento del mouse e raccolta di metadati di sistema.
Tecnica di rilevamento basata sulla barra del titolo
Un elemento chiave che rende JanelaRAT particolarmente efficace è la tecnica di rilevamento basata sulla barra del titolo delle finestre del browser. Il trojan monitora la finestra attiva e confronta il titolo con una lista predefinita di entità finanziarie. Quando trova una corrispondenza, attende circa 12 secondi e poi apre un canale dedicato verso il server di comando e controllo tramite socket TCP, ricevendo istruzioni mirate per intercettare operazioni sensibili come accessi e transazioni.
Evoluzione della catena di infezione
La catena di infezione è cambiata nel tempo. In passato sono stati osservati archivi ZIP con script VBScript che scaricavano ulteriori componenti, fino ad arrivare a un eseguibile legittimo usato per caricare una DLL malevola tramite DLL side loading. Successivamente, le campagne hanno adottato installer MSI malevoli camuffati da software legittimo e distribuiti su piattaforme considerate affidabili. Questi installer avviano fasi multiple con script in Go, PowerShell e batch, installano persistenza creando collegamenti LNK nella cartella di avvio e possono includere anche estensioni browser basate su Chromium. Le estensioni raccolgono cookie, cronologia, informazioni sulle schede e sulle estensioni installate, attivando azioni in base a pattern di URL.
Funzioni operative e tecniche di evasione
Le funzioni operative includono overlay a schermo intero per ingannare la vittima con finte schermate di sistema o finestre a tema banca, cattura e simulazione di input da tastiera, movimenti e click del cursore, esecuzione di comandi, spegnimento forzato e tecniche per ridurre la visibilità, come la manipolazione del Task Manager. Inoltre JanelaRAT controlla l’inattività dell’utente e notifica il server quando la macchina resta ferma per oltre 10 minuti, consentendo agli attaccanti di scegliere il momento migliore per operazioni remote e frodi.