Nos últimos anos tem-se visto um aumento sustentado de campanhas direcionadas contra entidades financeiras na América Latina, e um dos atores mais destacados nesse cenário é um troiano de acesso remoto conhecido como JanelaRAT. Trata-se de uma evolução de uma ferramenta prévia chamada BX RAT, e seu modus operandi combina técnicas tradicionais de infecção com capacidades muito avançadas de espionagem e controle remoto para interceptar operações bancárias e dados de criptomoedas.
JanelaRAT não é um malware bruto, mas um conjunto de componentes que atuam de forma orquestrada. Suas campanhas têm usado desde arquivos ZIP com scripts no Visual Basic, até instaladores MSI que são feitos por software legítimo hospedado em plataformas de confiança. Em várias análises descreve-se uma sequência em várias etapas: um arquivo inicial (por exemplo, um ZIP ou um instalador) download de componentes adicionais, entre eles um executável legítimo e um DLL maliciosa, e usa a técnica de DLL side-loading para executar o código malicioso sem levantar suspeitas imediatas.
Os vetores de entrada variaram com o tempo. Pesquisas públicas apontam que nas primeiras detecções foram usadas VBScript integrados em anexos comprimidos; depois as campanhas evoluíram para instaladores MSI que atuam como “droppers” e que buscam persistência criando acessos diretos na pasta de início do Windows. Também foi documentada a utilização de extensões maliciosas para navegadores baseados em Chromium, instaladas de forma silenciosa ao modificar os parâmetros de lançamento do navegador para incluir o interruptor -- load- extension. Essa extensão atua como uma camada adicional para capturar cookies, história, extensões instaladas e metadados de páginas, e para executar ações quando o usuário visita páginas concretas.
Uma das senhas de identidade do malware é seu interesse pelas janelas ativas do sistema. O código obtém o título da janela que está em primeiro plano e compara-o com uma lista pré-configurada de instituições financeiras. Quando detecta uma coincidência espera um breve período —relatórios técnicos mencionam cerca de doze segundos — e então estabelece um canal dedicado com seu servidor de comando e controle (C2) para receber ordens. Essa lógica permite ao atacante concentrar-se exclusivamente nas interações relevantes, reduzindo o ruído e a probabilidade de ser detectado.
As capacidades remotas de JanelaRAT são amplas e orientadas para evitar controlos. Entre os comandos que você pode executar encontram-se a captura de tela completa ou de áreas específicas, a apresentação de janelas falsas que imitam janelas bancárias para roubar credenciais, o registo de pulsações de teclado, a simulação de movimentos e cliques do rato e até a injeção de teclas para navegar interfaces. O malware pode forçar o desligamento da equipe, executar comandos por cmd.exe ou PowerShell, e manipular ferramentas do sistema como o Gestor de Tarefas para tentar permanecer escondido. Também incorpora rotinas para identificar soluções antifraude, ambientes sandbox ou mecanismos de automação, e ajustar seu comportamento se detectar essas defesas.
Um detalhe operacional interessante é que JanelaRAT monitoriza a atividade do usuário: calcula o tempo decorrido desde a última interação e notifica ao C2 se a equipe permaneceu inativa mais de dez minutos, voltando a informar quando a atividade é reiniciada. Essa tática permite aos atacantes escolher o momento mais oportuno para executar operações visíveis e minimizar as chances de serem surpreendidos pelo proprietário da equipe.
As métricas de telemetria que publicaram assinaturas de segurança mostram a escala do fenômeno na região. Por exemplo, fornecedores que analisam essas campanhas relataram dezenas de milhares de tentativas de ataque em países como o Brasil e o México durante um período concreto, enquanto outras campanhas afetaram com especial intensidade nações como o Chile e a Colômbia. É importante salientar que nem todas as tentativas implicam um compromisso bem-sucedido, mas a presença e a persistência deste ator deixam claro que os bancos e seus clientes são objetivos constantes.
O pesquisador e leitor interessado pode aprofundar essas dinâmicas nas análises técnicas que publicam as empresas de cibersegurança; por exemplo, a equipe de pesquisa de Zscaler registrou as primeiras aparições desta família de malware em 2023 e documenta sua evolução, e grupos como Kaspersky e outras empresas publicaram avaliações complementares sobre variantes e estatísticas de incidência. Para entender as técnicas que utiliza, como a captura de entradas ou a tomada de ecrãs, convém consultar recursos técnicos de referência em que se classificam estas capacidades e suas contramedidas ( Zscaler Research, Kaspersky Lab, e as descrições de táticas na base de conhecimento do MITRE Input Capture e Screen Capture).
Para usuários e responsáveis pela segurança em instituições financeiras as implicações são claras: é necessário uma abordagem em camadas que inclua educação para detectar e-mails de phishing (por exemplo, facturas falsas que induzem a download de arquivos), controles rigorosos sobre a proveniência e integridade de instaladores, endurecimento de navegadores e extensões, e monitorização de comportamento incomum em endpoints e tráfego de saída. As organizações também devem rever suas políticas de implantação de software para evitar que instaladores não verificados sejam testados a partir de repositórios aparentemente legítimos.
Não há uma única cura milagrosa, mas sim medidas práticas que reduzem muito o risco. Manter sistemas e navegadores atualizados, verificar assinaturas digitais de instaladores, usar multifator para acessos sensíveis, aplicar soluções EDR/antimalware com detecção de comportamento e segmentar redes para limitar o que um agente malicioso pode alcançar são passos concretos. Se se suspeitar de uma infecção, a resposta precoce — isolar a equipe, analisar a persistência e os canais de comunicação e, se for caso disso, reimprimir o sistema — reduz o impacto.
O que deixa em evidência a trajetória de JanelaRAT é que os atacantes latino-americanos e globais investem na sofisticação de suas ferramentas e na adaptabilidade de suas cadeias de infecção. A combinação de técnicas de engenharia social, abuso de mecanismos legítimos do sistema e extensões maliciosas cria uma superfície de ataque ampla. Manter-se informado por fontes especializadas e adotar defesas baseadas em comportamento é hoje a melhor forma de proteger tanto as instituições bancárias como os seus clientes contra esta ameaça.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...