Au cours des dernières années, on a assisté à une augmentation soutenue des campagnes contre les institutions financières en Amérique latine, et l'un des acteurs les plus importants de ce scénario est un trojan isolé appelé JanelaRAT. Il s'agit d'une évolution d'un outil précédent appelé BX RAT, et son modus operandi combine les techniques d'infection traditionnelles avec des capacités d'espionnage et de télécommande très avancées pour intercepter les opérations bancaires et les données cryptomonéda.
JanelaRAT n'est pas un malware brut, mais un ensemble de composants qui agissent orchestrés. Vos campagnes ont été utilisées à partir de fichiers ZIP avec des scripts sur Visual Basic, aux installateurs MSI qui se présentent comme des logiciels légitimes hébergés sur des plateformes de confiance. Dans plusieurs analyses, une séquence est décrite en plusieurs étapes: un fichier initial (par exemple, un ZIP ou un installateur) télécharger des composants supplémentaires, y compris un exécutable légitime et une DLL malveillante, et utiliser la technique de roulement latéral DLL pour exécuter le code malveillant sans soulever de soupçon immédiat.
Les vecteurs d'entrée ont changé au fil du temps. Les enquêtes publiques soulignent que dans les premières détections VBScript a été utilisé intégré dans les pièces jointes des tablettes; puis les campagnes ont évolué vers les installateurs MSI agissant comme des « goutteurs » et qu'ils cherchent également à persister en créant un accès direct dans le dossier Windows Start. Il a également documenté l'utilisation d'extensions malveillantes pour les navigateurs à base de chrome, installés silencieusement lors de la modification des paramètres de lancement du navigateur pour inclure le commutateur -- Charge-extension. Cette extension sert de couche supplémentaire pour capturer les cookies, l'historique, les extensions installées et les métadonnées des onglets, et pour exécuter des actions lorsque l'utilisateur visite des pages spécifiques.
Un des signes d'identité des logiciels malveillants est votre intérêt pour les fenêtres du système actif. Le code obtient le titre de la fenêtre qui est au premier plan et le compare à une liste préconfigurée d'institutions financières. Lorsque vous détectez une coïncidence attendez une courte période - les rapports techniques mentionnent environ 12 secondes - puis définissez un canal dédié avec votre serveur de commande et de contrôle (C2) pour recevoir des commandes. Cette logique permet à l'attaquant de se concentrer exclusivement sur les interactions pertinentes, réduisant le bruit et la probabilité d'être détecté.
Les capacités à distance de JanelaRAT sont larges et visent à éviter les contrôles. Les commandes que vous pouvez exécuter comprennent la capture de plein écran ou des zones spécifiques, la présentation de fausses fenêtres qui imitent les dialogues bancaires pour voler des identifiants, l'enregistrement d'impulsions clavier, la simulation de mouvements et de clics de souris, et même l'injection de clés pour naviguer des interfaces. Le malware peut forcer l'ordinateur, exécuter des commandes en utilisant cmd.exe ou PowerShell, et manipuler des outils système comme le Gestionnaire des tâches pour essayer de rester caché. Il intègre également des routines pour identifier des solutions antifraude, des environnements de bac à sable ou des mécanismes d'automatisation, et ajuster votre comportement si vous détectez ces défenses.
Un détail opérationnel intéressant est que JanelaRAT surveille l'activité de l'utilisateur: il calcule le temps qui s'est écoulé depuis la dernière interaction et informe le C2 si l'équipe est restée inactive pendant plus de dix minutes, reportant à nouveau lorsque l'activité est reprise. Cette tactique permet aux attaquants de choisir le bon moment pour exécuter des opérations visibles et de minimiser les chances d'être surpris par le propriétaire de l'équipe.
Les mesures de télémétrie qui ont publié des signatures de sécurité montrent l'ampleur du phénomène dans la région. Par exemple, les fournisseurs qui analysent ces campagnes ont signalé des dizaines de milliers de tentatives d'attaque dans des pays comme le Brésil et le Mexique pour une période donnée, tandis que d'autres campagnes ont particulièrement touché des pays comme le Chili et la Colombie. Il est important de souligner que toutes les tentatives n'impliquent pas un engagement réussi, mais la présence et la persistance de cet acteur montrent clairement que les banques et leurs clients sont des objectifs constants.
Le chercheur et le lecteur concerné peuvent approfondir ces dynamiques dans les analyses techniques publiées par les sociétés de cybersécurité; par exemple, l'équipe de recherche Zscaler a enregistré les premières apparitions de cette famille de logiciels malveillants en 2023 et a documenté son évolution, et des groupes tels que Kaspersky et d'autres entreprises ont publié des évaluations complémentaires sur les variantes et les statistiques d'incidence. Afin de comprendre les techniques qu'il utilise, telles que la saisie des intrants ou la prise d'écrans, il convient de consulter les ressources techniques de référence qui classent ces capacités et leurs contre-mesures ( Recherche Zscaler, Kaspersky Lab et les descriptions tactiques dans la base de connaissances MITRE Capture d'entrée et Capture d'écran).
Pour les utilisateurs et les responsables de la sécurité dans les institutions financières, les implications sont claires: il est nécessaire d'adopter une approche par couche qui inclut l'éducation pour détecter les courriels d'hameçonnage (par exemple, les fausses factures qui induisent le téléchargement de fichiers), des contrôles rigoureux sur la provenance et l'intégrité des installateurs, le durcissement des navigateurs et des extensions, et la surveillance du comportement inhabituel dans les terminaux et le trafic de sortie. Les organisations devraient également revoir leurs politiques de déploiement de logiciels pour empêcher les installateurs non vérifiés de se propager à partir de dépôts apparemment légitimes.
Il n'y a pas de remède miracle, mais des mesures pratiques qui réduisent considérablement le risque. Maintenez des systèmes et des navigateurs à jour, vérifiez les signatures numériques de l'installateur, utilisez plusieurs facteurs pour les accès sensibles, appliquez des solutions de détection de comportement / anti-malware et des réseaux de segment pour limiter ce qu'un agent malveillant peut réaliser sont des étapes concrètes. Si une infection est suspectée, l'équipement isolant, l'analyse de la persistance et des voies de communication et, le cas échéant, la réimpression du système, réduisent l'impact.
Ce qui rend la trajectoire de JanelaRAT claire, c'est que les attaquants latino-américains et mondiaux investissent dans la sophistication de leurs outils et la capacité d'adaptation de leurs chaînes d'infection. La combinaison de techniques d'ingénierie sociale, d'abus de mécanismes légitimes du système et d'extensions malveillantes crée une surface d'attaque étendue. Vous tenir informé par des sources spécialisées et adopter des défenses fondées sur le comportement est aujourd'hui la meilleure façon de protéger les institutions bancaires et leurs clients de cette menace.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...