Publicidade

Uma nova versão do JanelaRAT se disfarça como um aplicativo de pixel art em computadores com Windows e mira usuários de bancos no Brasil, entre outros países da América Latina.

O trojan de acesso remoto (RAT), é um malware evoluído do BX RAT, de 2014. Ele usa um sistema de sobreposição de telas para burlar a autenticação de múltiplo fator e capturar senhas e tokens. Com isso, criminosos conseguem acompanhar e fazer transações em tempo real.

• O que é Trojan de Acesso Remoto: Um Trojan de Acesso Remoto (RAT) é um malware que se disfarça de software legítimo para roubar informações do sistema, contas etc.

O malware tem como principais alvos usuários de bancos, fintechs e criptomoedas, e costuma chegar por e-mails com arquivos maliciosos. Isso inclui se passar por faturas eletrônicas ou documentos importantes. Ao clicar nos links ou baixar arquivos ZIP ou PDF anexados, o malware é instalado em dispositivos Windows sem que a vítima perceba.

Alguns e-mails podem exibir botões falsos, ícones de PDF ou instruções visuais que parecem legítimas para induzir o usuário a baixar o arquivo malicioso.

JanelaRAT começa com e-mail falso

A partir disso, os criminosos começam a monitorar a atividade do usuário, especialmente quando ele acessa serviços bancários. Isso porque, com o JanelaRAT, eles conseguem interceptar transações em tempo real por meio de janelas falsas. O que eles fazem é capturar senhas, códigos de autenticação e tokens, além de interferir nas operações enquanto o acesso ao banco está em andamento.

A técnica usada pelo malware se chama sobreposição de tela. Nela, o RAT exibe janelas falsas que imitam o site do banco ou até atualizações do sistema, cobrindo a tela verdadeira.

Nessas telas, o usuário é induzido a digitar senhas, códigos de autenticação ou outras informações sensíveis, que são imediatamente capturadas pelos criminosos. Essa versão também consegue burlar a autenticação multifator (MFA), capturando códigos de verificação enviados pelo banco ou aplicativo de segurança.

Cadeia de infecção mais curta, mas mais perigosa

A investigação da Kaspersky identificou que os arquivos compactados utilizados na campanha geralmente continham scripts VBScript, arquivos XML, ZIPs adicionais e arquivos BAT. O destino final dessa cadeia era o download de um ZIP com componentes para instalação de DLLs fora da pasta principal e a execução do JanelaRAT como carga útil.

A versão mais recente da campanha, no entanto, abandonou parte dessa complexidade. Os agentes de ameaça passaram a usar arquivos MSI para distribuir um executável PE32 legítimo acompanhado de uma DLL maliciosa, instalada manualmente pelo próprio executável. Essa DLL é o JanelaRAT.

O instalador que finge ser legítimo

O arquivo MSI funciona como instalador inicial: prepara o ambiente, garante a persistência e dificulta a análise ao ofuscar caminhos e nomes de arquivos. Ele também abusa da criação de objetos ActiveX — basicamente, componentes do Windows usados para automatizar tarefas — para manipular o sistema de arquivos e executar comandos.

Durante a execução, o MSI define diretórios com base em variáveis de ambiente e cria um atalho na pasta de inicialização do sistema. Se for a primeira vez que o malware roda na máquina, um marcador é criado. Se esse marcador já existir, o instalador redireciona a vítima para um site externo como isca, simulando comportamento legítimo.

Na prática, dois arquivos são depositados no sistema — um executável e uma DLL, ambos renomeados com strings aleatórias antes de serem reposicionados. Um atalho LNK na pasta de inicialização aponta para o executável, que ao rodar carrega a DLL com o JanelaRAT.

Disfarçado de app de pixel art, focado em bancos

A variante analisada se disfarça como um aplicativo de pixel art e aplica técnicas clássicas de ofuscação em .NET, como achatamento de fluxo de controle e renomeação de classes — recursos que tornam o código mais difícil de analisar. O foco principal é fraude financeira.

O malware monitora a atividade da vítima, intercepta interações sensíveis em ambientes bancários e mantém comunicação constante com um servidor de comando e controle (C2). Além de coletar informações do sistema e do perfil do usuário, o trojan usa mutex — basicamente, um mecanismo de bloqueio — para evitar que múltiplas instâncias rodem ao mesmo tempo.

A comunicação com o C2 usa strings criptografadas com base64 combinada a AES, e o canal ativo é mantido via socket TCP. Entre as rotinas do malware estão o monitoramento de inatividade do usuário, o envio periódico de beacons HTTP com dados do ambiente comprometido, o download de cargas adicionais e o reforço de persistência via scripts PowerShell.

Sequestro de sessão bancária em tempo real

O JanelaRAT verifica constantemente a janela ativa em busca de títulos associados a instituições financeiras. Ao identificar um alvo, estabelece um canal dedicado com o C2 em questão de segundos. A partir daí, os operadores podem capturar a tela, registrar entradas de teclado, simular comandos e até sequestrar a sessão bancária.

Diferente de versões anteriores, essa variante rotaciona o servidor C2 diariamente. O domínio é construído dinamicamente ao concatenar uma string ofuscada, a data atual e um sufixo vinculado a um serviço de DNS dinâmico (DDNS) legítimo.

Telas falsas bloqueiam a vítima e capturam credenciais

Ao detectar um site bancário, o malware consulta o C2 e exibe uma interface falsa em tela cheia — geralmente enviada em Base64 — que imita páginas legítimas ou alertas do sistema e impede qualquer interação da vítima com o que está por trás.

O golpe é conduzido por janelas modais que simulam desde formulários de login até telas de "atualização do Windows", sempre com mensagens em português para reforçar a credibilidade. Os operadores também podem exibir alertas personalizados mantidos em primeiro plano, bloqueando o acesso a outras janelas.

Nos bastidores, o malware inclui checagens anti-análise com detecção de ambiente via componentes de acessibilidade e reforça a persistência com scripts no diretório de inicialização do Windows, executados silenciosamente a cada logon. O foco continua sendo instituições financeiras da América Latina, com concentração no Brasil e no México.

Como se proteger

Para se manter seguro, a Kaspersky recomenda que o usuário:

• Tenha cuidado ao abrir arquivos ou links recebidos por e-mail ou mensagem, eles podem conter malware.
• Use um programa de segurança confiável em todos os dispositivos, como o Kaspersky Premium, para prevenir infecções.
• Ative a opção de mostrar extensões de arquivos no Windows e desconfie de arquivos com extensões como "exe", "vbs" ou "scr", que podem ser maliciosos.
• Fique atento a e-mails falsos que imitam bancos ou lojas e nunca clique em links suspeitos.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.