Skip to content
Javiera González16-08-233 min read

JanelaRAT: malware financiero para usuarios Windows en LATAM

Un reciente malware financiero ha surgido, apuntando a usuarios de sistemas Microsoft Windows en la región de LATAM que han sido comprometidos. Este malware, conocido como JanelaRAT, tiene como objetivo principal la extracción de información confidencial de sistemas vulnerados.

JanelaRAT dirige sus ataques principalmente hacia entidades bancarias e industrias financieras en la zona. Hasta el momento, no se ha determinado con precisión el punto de origen de la infección.

Origen de JanelaRAT

Una investigación realizada en junio de 2023 dejó en evidencia la aparición de una variante modificada del troyano BX RAT (descubierto en 2014), la que fue bautizada como JanelaRAT, que se dirigía usuarios de FinTech. 

BX RAT es un troyano de acceso remoto que ha sido utilizado para atacar a usuarios de LATAM, distribuyéndose a través de correos electrónicos de phishing que contienen archivos adjuntos maliciosos. Pudiendo ser utilizado para robar información personal como contraseñas, números de tarjetas de crédito u otra información sensible, o para instalar malware adicional en el sistema.

Una nueva adición a este troyano presente en JanelaRAT, es su capacidad para capturar y enviar títulos de ventanas a los actores de la amenaza. Esto ocurre después de que registra el dispositivo recién infectado en el servidor de comando y control (C2). Otras capacidades de JanelaRAT incluyen el seguimiento de movimientos del ratón, el registro de pulsaciones de teclas, la toma de capturas de pantalla y la recolección de metadatos del sistema.

Según los investigadores, "JanelaRAT se presenta con un conjunto de características más reducido en comparación con las ofrecidas por BX RAT". Explican que el desarrollador de JanelaRAT no incluyó la funcionalidad de ejecución de comandos de shell ni las características de manipulación de archivos y procesos que si estaban presentes en BX RAT.

Lo que se sabe de este malware 

El análisis del código muestra cadenas en portugués, señalando familiaridad del autor con el idioma. Los vínculos con LATAM surgen de referencias a instituciones bancarias y financieras descentralizadas, y el VBScript en VirusTotal proviene de Chile, Colombia y México.

Se enfoca principalmente en la captura de datos financieros y  criptomonedas. Posee un mecanismo de sensibilidad de los títulos de las ventanas que permite al malware capturar los datos de los títulos de las ventanas de las víctimas.

Además, tiene un comportamiento estratégico: cada dominio está configurado para estar activo solo en un día determinado del mes. Además, abusa de las técnicas de carga lateral de DLL para evadir la detección de puntos finales.

IoC asociados a este ataque

A continuación, se presentan algunos de los Indicadores de Compromiso asociados a JanelaRAT:

Tipo Indicador

Hash
  • 526a0b2d142567d8078e24ab0758fad7
  • e841f4691e5107fe360b1528384a96f0
  • c39f75423862c1525f089a5e966b9d04
  • 72c02b3181c763d0e67f060e91635a97
  • 897e8483b673db70fdc5d3d111600cac
URL
  • http://zimbawhite[.]is-certified[.]com:3001/clientes/[1-44]
  • http://45[.] 42[.] 160[.] 55/xc
IP
  • 191.96.224.215
  • 192.99.169.240
  • 191.96.79.24
  • 167.88.168.132
  • 102.165.46.28
Dominio
  • cnt-blackrock.geekgalaxy.com
  • aigodmoney009.access.ly
  • freelascdmx979.couchpotatofries.org
  • 439mdxmex.damnserver.com
  • 897midasgold.ddns.me

Prevención y mitigación

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y sean conscientes de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.

Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.

Fuentes

https://thehackernews.com/2023/08/new-financial-malware-janelarat-targets.html

https://www.zscaler.com/blogs/security-research/janelarat-repurposed-bx-rat-variant-targeting-latam-fintech

https://thehackernews.com/2023/04/blind-eagle-cyber-espionage-group.html

https://www.proofpoint.com/es/threat-reference/remote-access-trojan 

 

Javiera González

ARTÍCULOS RELACIONADOS