Los bancos e instituciones financieras de países latinoamericanos como Brasil y México han seguido siendo el objetivo de una familia de malware llamada VentanaRAT.
JanelaRAT, una versión modificada de BX RAT, es conocida por robar datos financieros y de criptomonedas asociados con entidades financieras específicas, así como por rastrear entradas del mouse, registrar pulsaciones de teclas, tomar capturas de pantalla y recopilar metadatos del sistema.
«Una de las diferencias clave entre estos troyanos es que JanelaRAT utiliza un mecanismo de detección de barra de título personalizado para identificar los sitios web deseados en los navegadores de las víctimas y realizar acciones maliciosas», dijo Kaspersky en un informe publicado hoy. «Los actores de amenazas detrás de las campañas de JanelaRAT actualizan continuamente la cadena de infección y las versiones del malware agregando nuevas funciones».
Los datos de telemetría recopilados por el proveedor ruso de ciberseguridad muestran que se registraron hasta 14.739 ataques en Brasil en 2025 y 11.695 en México. Actualmente no se sabe cuántos de ellos resultaron en un compromiso exitoso.
Detectado por primera vez en la naturaleza por Zscaler en junio de 2023, JanelaRAT aprovechó archivos ZIP que contienen un script Visual Basic (VBScript) para descargar un segundo archivo ZIP, que, a su vez, viene con un ejecutable legítimo y una carga útil DLL. La etapa final emplea la técnica de carga lateral de DLL para iniciar el troyano.
En un análisis posterior publicado en julio de 2025, KPMG dijo que el malware se distribuye a través de archivos de instalación MSI falsos que se hacen pasar por software legítimo alojado en plataformas confiables como GitLab. Los ataques relacionados con el malware se han centrado principalmente en Chile, Colombia y México.
«Tras la ejecución, el instalador inicia un proceso de infección de varias etapas utilizando scripts de orquestación escritos en Go, PowerShell y por lotes», señaló KPMG en ese momento. «Estos scripts descomprimen un archivo ZIP que contiene el ejecutable RAT, una extensión de navegador maliciosa basada en Chromium y componentes de soporte».
Los scripts también están diseñados para identificar los navegadores basados en Chromium instalados y modificar sigilosamente sus parámetros de inicio (como el interruptor de línea de comando «–load-extension») para instalar la extensión. Luego, el complemento del navegador procede a recopilar información del sistema, cookies, historial de navegación, extensiones instaladas y metadatos de pestañas, además de activar acciones específicas basadas en coincidencias de patrones de URL.
La última cadena de ataque documentada por Kaspersky muestra que los correos electrónicos de phishing disfrazados de facturas pendientes se utilizan para engañar a los destinatarios para que descarguen un archivo PDF haciendo clic en un enlace, lo que resulta en la descarga de un archivo ZIP que inicia la cadena de ataque antes mencionada que involucra la carga lateral de DLL para instalar JanelaRAT.
Al menos desde mayo de 2024, las campañas de JanelaRAT han pasado de los scripts de Visual Basic a los instaladores MSI, que actúan como un gotero para el malware mediante la carga lateral de DLL y establecen persistencia en el host mediante la creación de un acceso directo de Windows (LNK) en la carpeta de Inicio que apunta al ejecutable.
Tras su ejecución, el malware establece comunicaciones con un servidor de comando y control (C2) a través de un socket TCP para registrar una infección exitosa y controla la actividad de la víctima para interceptar interacciones bancarias confidenciales.
El objetivo principal de JanelaRAT es obtener el título de la ventana activa y compararlo con una lista codificada de instituciones financieras. Si hay una coincidencia, el malware espera 12 segundos antes de abrir un canal C2 dedicado y ejecutar las tareas maliciosas recibidas del servidor. Algunos de los comandos admitidos incluyen:
- Envío de capturas de pantalla al servidor C2
- Recortar regiones específicas de la pantalla y extraer imágenes
- Mostrar imágenes en modo de pantalla completa (por ejemplo, «Configurando actualizaciones de Windows, espere») y hacerse pasar por cuadros de diálogo con temas bancarios mediante superposiciones falsas para recopilar credenciales
- Capturando pulsaciones de teclas
- Simular acciones del teclado como ABAJO, ARRIBA y TAB para navegación
- Mover el cursor y simular clics
- Ejecutar un apagado forzado del sistema
- Ejecutar comandos usando «cmd.exe» y comandos o scripts de PowerShell
- Manipular el Administrador de tareas de Windows para ocultar su ventana para que no sea detectada
- Señalar la presencia de sistemas antifraude
- Envío de metadatos del sistema
- Detección de sandbox y herramientas de automatización
«El malware determina si la máquina de la víctima ha estado inactiva durante más de 10 minutos calculando el tiempo transcurrido desde la última entrada del usuario», dijo Kaspersky. «Si el período de inactividad supera los 10 minutos, el malware notifica al C2 enviando el mensaje correspondiente. Tras la actividad del usuario, notifica nuevamente al actor de la amenaza. Esto hace posible rastrear la presencia y la rutina del usuario para cronometrar posibles operaciones remotas».
«Esta variante representa un avance significativo en las capacidades del actor, combinando múltiples canales de comunicación, monitoreo integral de víctimas, superposiciones interactivas, inyección de entrada y funciones robustas de control remoto. El malware está diseñado específicamente para minimizar la visibilidad del usuario y adaptar su comportamiento al detectar software antifraude».
