Investigadores de Kaspersky GReAT detectaron y analizaron una nueva versión del malware bancario JanelaRAT, que se hacía pasar por una aplicación legítima de pixel art. En línea con intrusiones y campañas previas, los principales objetivos de los actores detrás de esta amenaza son usuarios bancarios en América Latina, con especial enfoque en clientes de instituciones financieras en Brasil y México.

Con esta nueva versión del malware, los atacantes manipulan al usuario para que interactúe con una pantalla superpuesta personalizada sobre la interfaz real de banca en línea, lo que les permite iniciar el secuestro de la sesión bancaria. Según la telemetría de Kaspersky, en 2025 se registraron 14,739 ataques en Brasil y 11,695 en México relacionados con JanelaRAT.

JanelaRAT es un troyano de acceso remoto (RAT), una variante fuertemente modificada del antiguo BX RAT de 2014, que apunta principalmente a usuarios en América Latina, especialmente en sectores bancarios, fintech y de criptomonedas. El malware utiliza una cadena de infección de múltiples etapas que comienza con correos de phishing que contienen scripts maliciosos en VBS dentro de archivos comprimidos, los cuales son abiertos por los usuarios.

Correo malicioso utilizado en campañas de JanelaRAT

En esta nueva versión (versión 33), Kaspersky ha observado variaciones en las cadenas de infección dependiendo de la variante distribuida. La campaña más reciente emplea la técnica de DLL sideloading. La DLL cargada es, en realidad, JanelaRAT, entregado como carga final. Este monitorea la actividad de la víctima, intercepta interacciones bancarias sensibles y establece un canal interactivo para reportar información a los atacantes. Además, rastrea la presencia y rutina del usuario para determinar el mejor momento para ejecutar operaciones remotas.

Sistema de superposición engañosa (decoy overlay)

La nueva versión de JanelaRAT implementa una táctica interactiva diseñada para capturar credenciales bancarias y evadir la autenticación multifactor. Cuando detecta una ventana bancaria, el malware despliega una pantalla completa con una imagen enviada por los atacantes que imita interfaces legítimas de bancos o del sistema.

Luego, bloquea la interacción de la víctima mediante cuadros de diálogo controlados por los atacantes. Las acciones dentro de estos cuadros corresponden a operaciones específicas, como la captura de contraseñas o de tokens de autenticación (MFA), entre otras. Entre los engaños utilizados se incluyen pantallas falsas de carga, simulaciones de actualizaciones de Windows en pantalla completa y otros elementos similares.

Además, el malware ajusta el tamaño de la superposición, analiza múltiples pantallas y carga elementos engañosos para distraer al usuario o incluso ocultar temporalmente ventanas legítimas de aplicaciones.

Ejemplos de cuadros de diálogo de MS Windows mostrados por los atacantes a la víctima: captura de contraseñas, captura de tokens/MFA, pantalla de carga falsa.

“JanelaRAT sigue siendo una amenaza activa y en evolución, con intrusiones que mantienen características consistentes pese a las modificaciones continuas. Hemos seguido su evolución durante algún tiempo, observando variaciones tanto en el malware como en su cadena de infección, incluyendo variantes específicas por país. Esta nueva versión representa un avance significativo en las capacidades de los atacantes, al combinar múltiples canales de comunicación, monitoreo completo de la víctima, superposiciones interactivas, inyección de entradas y funciones robustas de control remoto. Además, está diseñado para minimizar su visibilidad y adaptar su comportamiento ante la detección de software antifraude”, comenta María Isabel Manjarrez, Investigadora de Seguridad para América Latina en el Equipo Global de Investigación y Análisis de Kaspersky.

Para mantenerse protegido frente a este tipo de amenazas, Kaspersky recomienda:

• Ser cauteloso al abrir o descargar archivos recibidos por mensajería o correo electrónico, ya que pueden contener malware.
• Utilizar una solución de seguridad sólida en todos los dispositivos que puede detectar y bloquear amenazas.
• Activar la opción de “mostrar extensiones de archivo” en Windows para identificar archivos potencialmente maliciosos. Extensiones como “.exe”, “.vbs” o “.scr” pueden ser señales de alerta.
• Prestar atención a notificaciones por correo electrónico, ya que los ciberdelincuentes suelen suplantar tiendas en línea o bancos para inducir a hacer clic en enlaces maliciosos.