JanelaRAT 恶意软件盯上了拉丁美洲银行,预计2025年仅在巴西就将发起14739次攻击

巴西和墨西哥等拉丁美洲国家的银行和金融机构一直是名为JanelaRAT的恶意软件家族的攻击目标。

JanelaRAT 是 BX RAT 的修改版本，已知其会窃取与特定金融实体相关的金融和加密货币数据，还会跟踪鼠标输入、记录击键、截屏和收集系统元数据。

卡巴斯基在今天发布的一份报告中指出： “这些木马程序之间的一个关键区别在于，JanelaRAT 使用自定义的标题栏检测机制来识别受害者浏览器中的目标网站并执行恶意操作。JanelaRAT活动背后的威胁行为者会不断更新感染链和恶意软件版本，添加新功能。”

俄罗斯网络安全厂商收集的遥测数据显示，2025年巴西共记录到14739起网络攻击，墨西哥则记录到11695起。目前尚不清楚其中有多少起攻击最终导致系统入侵成功。

JanelaRAT最早于 2023 年 6 月被 Zscaler 检测到。它利用包含 Visual Basic 脚本 (VBScript) 的 ZIP 压缩包下载第二个 ZIP 文件，而第二个 ZIP 文件则包含一个合法的可执行文件和一个 DLL 有效载荷。最后阶段，它采用 DLL 侧加载技术启动木马程序。

毕马威在2025年7月发布的后续分析中指出，该恶意软件通过伪装成合法软件的恶意MSI安装程序文件进行传播，这些合法软件托管在GitLab等可信平台上。涉及该恶意软件的攻击主要集中在智利、哥伦比亚和墨西哥。

毕马威当时指出： “安装程序执行后，会启动一个多阶段感染过程，该过程使用用 Go、PowerShell 和批处理编写的编排脚本。这些脚本会解压一个 ZIP 压缩包，其中包含 RAT 可执行文件、一个基于 Chromium 的恶意浏览器扩展程序以及支持组件。”

这些脚本还旨在识别已安装的基于 Chromium 的浏览器，并悄悄修改其启动参数（例如命令行开关“ –load-extension ”）以安装扩展程序。然后，该浏览器插件会收集系统信息、Cookie、浏览历史记录、已安装的扩展程序和标签页元数据，并根据 URL 模式匹配触发特定操作。

卡巴斯基记录的最新攻击链显示，攻击者使用伪装成未结发票的网络钓鱼电子邮件，诱骗收件人点击链接下载 PDF 文件，从而下载 ZIP 压缩包，进而启动上述攻击链，该攻击链涉及 DLL 侧加载以安装 JanelaRAT。

至少从 2024 年 5 月起，JanelaRAT 攻击活动已从 Visual Basic 脚本转向 MSI 安装程序，后者利用 DLL 侧加载作为恶意软件的投放器，并通过在启动文件夹中创建指向可执行文件的 Windows 快捷方式 (LNK) 来在主机上建立持久性。

执行后，恶意软件会通过 TCP 套接字与命令和控制 (C2) 服务器建立通信，以记录感染成功，并跟踪受害者的活动以拦截敏感的银行交互。 

JanelaRAT 的主要目标是获取当前活动窗口的标题，并将其与预先设定的金融机构列表进行比对。如果找到匹配项，该恶意软件会等待 12 秒，然后打开一个专用的 C2 通道，执行从服务器接收的恶意任务。部分支持的命令包括：

• 将屏幕截图发送到 C2 服务器
• 裁剪特定屏幕区域并提取图像
• 通过全屏显示图像（例如，“正在配置 Windows 更新，请稍候”）和伪装成银行主题对话框（通过虚假叠加层）来窃取凭据
• 捕捉按键操作
• 模拟键盘操作，例如向下、向上和 Tab 键，以进行导航
• 移动光标并模拟点击
• 执行强制系统关机
• 使用“cmd.exe”和 PowerShell 命令或脚本运行命令
• 通过操纵 Windows 任务管理器来隐藏其窗口，使其不被检测到。
• 标记反欺诈系统的存在
• 发送系统元数据
• 检测沙箱和自动化工具

卡巴斯基表示：“该恶意软件通过计算自上次用户输入以来经过的时间，来判断受害者的计算机是否已超过10分钟处于非活动状态。如果非活动时间超过10分钟，恶意软件会向C2服务器发送相应的消息进行通知。一旦用户恢复活动，恶意软件会再次通知攻击者。这使得攻击者能够追踪用户的在线状态和日常活动，从而把握远程操作的时机。”

“该变种恶意软件显著提升了攻击者的能力，它融合了多种通信渠道、全面的受害者监控、交互式叠加层、输入注入以及强大的远程控制功能。该恶意软件经过专门设计，旨在最大限度地降低用户可见性，并在检测到反欺诈软件后调整其行为。”