Instituições financeiras na América Latina — com destaque para Brasil e México — seguem sob pressão crescente de campanhas cibercriminosas associadas ao malware JanelaRAT, uma evolução do conhecido BX RAT. O trojan tem como foco a interceptação de credenciais bancárias e ativos digitais, combinando espionagem comportamental com técnicas avançadas de persistência e evasão.
De acordo com relatório recente da Kaspersky, a principal inovação do JanelaRAT está em um mecanismo proprietário de detecção de títulos de janelas, que permite identificar, em tempo real, quando o usuário acessa plataformas financeiras específicas. A partir dessa identificação contextual, o malware aciona rotinas maliciosas direcionadas, elevando significativamente sua eficácia operacional.
Escala regional e vetores de infecção
Dados de telemetria indicam que somente em 2025 foram registrados cerca de 14.739 ataques no Brasil e 11.695 no México, evidenciando a consolidação da América Latina como vetor prioritário para esse tipo de campanha. Ainda não há visibilidade completa sobre a taxa de comprometimento efetivo.
O malware foi inicialmente identificado em ambiente real pela Zscaler em junho de 2023, utilizando cadeias de infecção baseadas em arquivos ZIP com scripts VBScript, evoluindo posteriormente para métodos mais sofisticados.
Análises subsequentes conduzidas pela KPMG mostram uma transição clara para o uso de instaladores MSI maliciosos, disfarçados como softwares legítimos hospedados em plataformas confiáveis como GitLab.
A cadeia de infecção atual apresenta múltiplas camadas:
- Uso de scripts de orquestração em Go, PowerShell e batch
- Descompactação de payloads contendo:
- Executável do RAT
- Extensão maliciosa para navegadores baseados em Chromium
- Aplicação da técnica de DLL sideloading para execução furtiva
- Estabelecimento de persistência via atalhos LNK na inicialização do sistema
Comprometimento de navegadores e espionagem transacional
Um dos vetores mais críticos é a manipulação de navegadores baseados em Chromium. O malware altera parâmetros de inicialização (como –load-extension) para injetar extensões maliciosas capazes de coletar Cookies e sessões autenticadas, histórico de navegação, metadados de abas e extensões instaladas. Além disso, o sistema implementa correlação por padrão de URL, permitindo acionar ações específicas quando o usuário acessa ambientes bancários ou fintechs.
Phishing e engenharia social como ponto de entrada
A cadeia mais recente documentada pela Kaspersky utiliza campanhas de phishing baseadas em faturas falsas, induzindo o usuário a baixar um suposto PDF que, na prática, inicia o download de um arquivo ZIP contendo o payload malicioso.
Esse modelo reforça a convergência entre engenharia social e técnicas avançadas de execução, reduzindo a dependência de exploits técnicos tradicionais.
Após a infecção, o JanelaRAT estabelece comunicação com servidores de comando e controle (C2) via socket TCP, permitindo controle remoto completo e monitoramento contínuo da vítima.
Entre as principais capacidades identificadas:
- Captura de tela e exfiltração seletiva de imagens
- Keylogging e simulação de entrada (teclado e mouse)
- Execução remota de comandos via cmd.exe e PowerShell
- Exibição de overlays falsos (ex.: simulação de atualização do Windows ou interfaces bancárias)
- Detecção de ambientes de sandbox e ferramentas antifraude
- Ocultação ativa de processos (incluindo manipulação do Gerenciador de Tarefas)
Um diferencial crítico é a lógica de monitoramento de inatividade: o malware detecta períodos sem interação (≥10 minutos) e notifica o servidor C2, permitindo ao atacante inferir padrões de uso e identificar janelas ideais para fraude.
Implicações para o sistema financeiro e infraestrutura digital
O avanço do JanelaRAT representa uma mudança qualitativa no perfil de ameaças à infraestrutura financeira latino-americana:
- Ataques mais contextuais e direcionados, com base em comportamento do usuário
- Integração entre endpoints e navegadores, ampliando a superfície de ataque
- Capacidade de simulação interativa, dificultando a detecção por usuários e sistemas antifraude tradicionais
- Pressão sobre arquiteturas de segurança bancária, especialmente em canais digitais
Na prática, o malware evolui de um modelo de coleta passiva para um framework ativo de fraude assistida, com alto grau de automação e adaptação ao ambiente da vítima.
A sofisticação do JanelaRAT sinaliza uma tendência clara: a migração de campanhas de malware financeiro para arquiteturas mais inteligentes, baseadas em context awareness, múltiplos canais de comunicação e integração profunda com a experiência do usuário.
Para bancos e fintechs, isso implica a necessidade de reforço em detecção comportamental (behavioral analytics), monitoramento de integridade de navegadores e endpoints, e evolução de mecanismos antifraude para cenários de interação simulada em tempo real.
