Se ha emitido una alerta de inteligencia de amenazas dirigida al sector financiero latinoamericano. Informes recientes confirman un repunte masivo en las operaciones del malware JanelaRAT, un troyano bancario altamente especializado (basado en una variante modificada de BX RAT). Durante el último año, la telemetría de seguridad ha registrado casi 15,000 ataques en Brasil y más de 11,000 en México, con operaciones expandiéndose hacia Chile y Colombia. El objetivo principal de JanelaRAT es el robo de credenciales bancarias y datos de criptomonedas, utilizando técnicas avanzadas de evasión y secuestro de sesiones en tiempo real.
Anatomía del Ataque
Los actores de amenazas detrás de JanelaRAT han sofisticado sus cadenas de infección, abandonando vectores antiguos para adoptar técnicas más sigilosas que abusan de componentes legítimos del sistema operativo Windows:
- Vectores de Infección Inicial: Las campañas recientes se distribuyen mediante correos electrónicos de phishing (ingeniería social) disfrazados de facturas pendientes o notificaciones urgentes. Estos correos incitan a la descarga de archivos PDF falsos o archivos ZIP que contienen instaladores MSI maliciosos. En algunos casos, estos instaladores se alojan en plataformas confiables como GitLab para evadir filtros de red.
- Carga Lateral de DLL (DLL Side-Loading): El instalador no ejecuta el malware directamente. En su lugar, despliega un ejecutable legítimo y firmado digitalmente junto con una biblioteca dinámica (DLL) maliciosa. Al ejecutarse, el programa legítimo carga ciegamente la DLL infectada, evadiendo las detecciones basadas en firmas del antivirus.
- Persistencia y Manipulación de Navegadores: JanelaRAT establece persistencia creando accesos directos (LNK) en la carpeta de Inicio. Adicionalmente, secuencias de comandos en PowerShell modifican los parámetros de lanzamiento de navegadores basados en Chromium (como Chrome o Edge) inyectando el comando –load-extension para instalar silenciosamente extensiones maliciosas que roban cookies e historial.
- Monitoreo Activo (Detección de Título de Ventana): La característica principal de JanelaRAT es su mecanismo de detección de ventanas. El malware monitorea constantemente la pantalla del usuario. Si el título de la ventana activa coincide con una lista codificada de bancos latinoamericanos, el troyano espera 12 segundos y abre un canal de Comando y Control (C2) directo.
- Toma de Control (Overlays y RAT): Una vez activado el canal bancario, el malware puede superponer ventanas falsas (ej. “Configurando actualizaciones de Windows”) para ocultar el secuestro de la sesión, inyectar pulsaciones de teclado, capturar credenciales mediante formularios falsificados y realizar transacciones fraudulentas en tiempo real mientras el usuario cree que el sistema está cargando.
Impacto
El impacto para los usuarios y las instituciones financieras es crítico.
- Fraude Financiero Directo: Al operar cuando la víctima ya ha iniciado sesión en su portal bancario, el atacante puede eludir mecanismos de Autenticación Multifactor (MFA) realizando transferencias desde el mismo equipo y dirección IP de la víctima (sesión autenticada).
- Violación de Privacidad: El troyano tiene capacidades de keylogging (registro de teclas), exfiltración de recortes de pantalla específicos y robo masivo de cookies de sesión, comprometiendo no solo el ámbito bancario sino toda la identidad digital del usuario en ese equipo.
Recomendaciones y Mitigación
Para contrarrestar esta amenaza orientada a la región, se recomienda a los equipos de TI corporativos y de seguridad financiera implementar las siguientes medidas:
- Bloqueo de Vectores de Entrega: Reforzar los Secure Email Gateways (SEG) para inspeccionar y bloquear correos electrónicos que contengan enlaces hacia descargas directas de archivos .msi, .zip o .vbs, especialmente si provienen de dominios recién creados o servicios de alojamiento de código no sancionados por la empresa.
- Monitoreo de Comportamiento (EDR): Calibrar las herramientas EDR para que levanten alertas críticas ante cualquier proceso (incluso los legítimos) que intente realizar DLL Side-Loading desde directorios temporales de usuario (%AppData% o %Temp%), y monitorear la creación sospechosa de archivos .lnk en la carpeta de Inicio de Windows.
- Protección de Navegadores: Implementar políticas de grupo (GPO) estrictas para bloquear la carga de extensiones de navegador no empaquetadas (modo desarrollador) y restringir el uso de parámetros de línea de comandos anómalos como –load-extension en los navegadores corporativos.
- Concienciación al Usuario: Instruir al personal sobre esta campaña específica, enfatizando que no se deben descargar ni ejecutar supuestas “facturas” de remitentes desconocidos, y alertar sobre comportamientos inusuales del equipo (como pantallas de actualización repentinas mientras se navega en el banco).
