Investigadores de Kaspersky detectaron una versión avanzada del troyano JanelaRAT que utiliza pantallas superpuestas para interceptar credenciales y evadir la autenticación multifactor.
Expertos advierten sobre nueva amenaza de JanelaRAT que secuestra sesiones bancarias
• La nueva variante del malware JanelaRAT combina el robo de información con capacidades de control remoto para ejecutar transacciones bancarias fraudulentas en Brasil y México.
(30/Abr/2026 – web – Panama24Horas.com.pa) Ciudad de Panamá, Panamá.- Investigadores del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky alertaron sobre el descubrimiento de una versión avanzada de la amenaza de JanelaRAT, un troyano de acceso remoto (RAT) diseñado para comprometer sesiones de banca en línea en tiempo real. Esta variante reciente, identificada como la versión 33, ha sido distribuida bajo la apariencia de aplicaciones legítimas de pixel art, centrando sus ataques principalmente en usuarios de instituciones financieras en Brasil y México.
Evolución técnica y métodos de infección
JanelaRAT es una variante modificada del antiguo BX RAT de 2014, que ha evolucionado para atacar específicamente a los sectores bancarios, fintech y de criptomonedas en América Latina. La cadena de infección comienza con correos electrónicos de phishing que contienen archivos comprimidos con scripts maliciosos en VBS. Según la telemetría de Kaspersky, durante el año 2025 se contabilizaron 14,739 ataques en Brasil y 11,695 en México vinculados a esta actividad maliciosa.
En su versión más reciente, el malware utiliza la técnica de DLL sideloading para entregar la carga final. Una vez instalado, el troyano monitorea la actividad del usuario, intercepta interacciones sensibles y establece un canal interactivo para reportar datos a los atacantes. Este sistema permite a los cibercriminales rastrear la rutina de la víctima para determinar el momento idóneo para ejecutar operaciones remotas sin ser detectados.
Sistema de superposición interactiva
La característica más peligrosa de esta evolución es su capacidad para desplegar pantallas engañosas (decoy overlays) personalizadas sobre la interfaz real del banco. Cuando el malware detecta que el usuario ha abierto una ventana bancaria, muestra una imagen a pantalla completa que imita la estética de la entidad financiera. Mediante cuadros de diálogo controlados por los atacantes, se manipula a la víctima para que entregue contraseñas o tokens de autenticación multifactor (MFA).
Además de capturar credenciales, el malware puede simular actualizaciones de Windows o pantallas de carga falsas para ocultar las acciones fraudulentas que se realizan en segundo plano. Maria Isabel Manjarrez, investigadora de seguridad para América Latina en Kaspersky, señaló que esta versión representa un avance significativo al combinar múltiples canales de comunicación, inyección de entradas y funciones de control remoto diseñadas para evadir software antifraude.
Recomendaciones de seguridad
Para mitigar los riesgos asociados a esta amenaza, los expertos sugieren extremar la precaución al descargar archivos adjuntos en correos electrónicos o servicios de mensajería. Asimismo, se recomienda activar la visualización de extensiones de archivo en el sistema operativo para identificar ejecutables sospechosos (.exe, .vbs, .scr) y contar con soluciones de seguridad robustas capaces de detectar y bloquear comportamientos anómalos en tiempo real.
Deja un comentario
Su dirección de correo electrónico no será publicada. Los campos requeridos estan marcados con *