Wprowadzenie do problemu / definicja
JanelaRAT to trojan zdalnego dostępu (RAT), który został przystosowany do operacji wymierzonych w sektor finansowy i użytkowników bankowości elektronicznej w Ameryce Łacińskiej. Zagrożenie łączy cechy klasycznego malware bankowego z funkcjami umożliwiającymi aktywną interakcję z ofiarą, co pozwala przestępcom nie tylko kraść dane, ale także przejmować kontrolę nad przebiegiem sesji użytkownika.
W praktyce oznacza to przejście od pasywnej kradzieży poświadczeń do modelu ataku, w którym operator może reagować na działania ofiary w czasie rzeczywistym, obserwować ekran, symulować kliknięcia i wyświetlać fałszywe komunikaty przypominające legalne okna bankowe.
W skrócie
W 2025 roku JanelaRAT był wykorzystywany w intensywnych kampaniach wymierzonych głównie w Brazylię i Meksyk. Ataki opierały się przede wszystkim na phishingu, fałszywych dokumentach oraz wieloetapowych łańcuchach infekcji, które finalnie uruchamiały malware z użyciem techniki DLL side-loading.
- malware aktywuje się kontekstowo, gdy użytkownik otwiera aplikację lub stronę powiązaną z bankowością,
- umożliwia przechwytywanie ekranu i naciśnięć klawiszy,
- potrafi symulować działania myszy i klawiatury,
- wykorzystuje pełnoekranowe nakładki do oszustw w czasie rzeczywistym,
- utrudnia wykrycie dzięki użyciu legalnych komponentów i selektywnemu uruchamianiu złośliwych funkcji.
Kontekst / historia
JanelaRAT był wcześniej opisywany jako zmodyfikowany wariant BX RAT. Pierwsze publiczne analizy tej rodziny wskazywały na kampanie oparte na archiwach ZIP, skryptach VBS i prostszych mechanizmach pobierania kolejnych etapów infekcji. Z czasem operatorzy rozbudowali zarówno sam implant, jak i sposób jego dostarczania.
W kolejnych odsłonach kampanii zaczęto wykorzystywać instalatory MSI, legalne pliki wykonywalne oraz komponenty pomocnicze, które miały zwiększyć skuteczność infekcji i utrudnić analizę. Równolegle badacze obserwowali także nadużycia związane ze złośliwymi rozszerzeniami przeglądarek opartych na Chromium. Najnowsze warianty pokazują jednak wyraźną zmianę jakościową: JanelaRAT staje się narzędziem do interaktywnego oszustwa finansowego, a nie tylko do kradzieży danych.
Analiza techniczna
Typowy łańcuch infekcji rozpoczyna się od wiadomości phishingowej podszywającej się pod fakturę, dokument biznesowy lub pilne powiadomienie wymagające reakcji. Ofiara pobiera plik PDF, archiwum ZIP albo uruchamia instalator MSI, który pełni rolę droppera. Następnie wykonywane są kolejne komponenty odpowiedzialne za rozpakowanie ładunku i uruchomienie adekwatnego malware.
Jednym z kluczowych elementów kampanii jest DLL side-loading. W tym scenariuszu legalny plik binarny ładuje spreparowaną bibliotekę DLL, co pomaga ominąć część mechanizmów ochronnych i utrudnia przypisanie złośliwej aktywności do oczywistego procesu malware.
Po skutecznym uruchomieniu JanelaRAT uzyskuje trwałość w systemie, między innymi przez utworzenie skrótu w folderze autostartu Windows. Następnie komunikuje się z serwerem C2 przez TCP, rejestruje zainfekowany host i rozpoczyna monitoring aktywności użytkownika.
Szczególnie istotna jest analiza tytułu aktywnego okna. Trojan porównuje go z wbudowaną listą nazw i wzorców związanych z bankami oraz usługami finansowymi. Dopiero po wykryciu zgodności przechodzi do aktywnej fazy operacyjnej, dzięki czemu ogranicza liczbę zbędnych działań i zmniejsza ryzyko szybkiego wykrycia.
- wykonuje zrzuty ekranu i eksfiltruje obrazy,
- przechwytuje naciśnięcia klawiszy,
- symuluje działania myszy i klawiatury,
- uruchamia polecenia systemowe i skrypty PowerShell,
- zbiera metadane o systemie,
- wykrywa sandboxy i narzędzia analityczne,
- identyfikuje obecność mechanizmów antyfraudowych,
- raportuje okresy bezczynności i powrotu użytkownika do aktywności.
Jedną z najbardziej niebezpiecznych funkcji pozostają pełnoekranowe nakładki i fałszywe komunikaty imitujące legalne interfejsy bankowe lub systemowe. Mechanizm ten może posłużyć do przechwytywania loginów, haseł, kodów jednorazowych oraz manipulowania decyzjami użytkownika podczas sesji bankowej.
Konsekwencje / ryzyko
JanelaRAT stanowi istotne zagrożenie dla klientów banków, firm realizujących płatności oraz samych instytucji finansowych. Z perspektywy ofiary końcowej ryzyko nie ogranicza się do utraty danych uwierzytelniających. Malware może aktywnie uczestniczyć w sesji, obserwować zachowanie użytkownika i przejąć kontrolę w kluczowym momencie operacji finansowej.
- przejęcie kont bankowych i biznesowych,
- kradzież środków finansowych,
- kompromitacja danych kart i portfeli kryptowalutowych,
- ujawnienie poufnych informacji widocznych na ekranie,
- trudniejsze wykrywanie incydentu przez systemy antyfraudowe.
Dla banków i organizacji finansowych oznacza to wzrost ryzyka oszustw typu account takeover oraz większą trudność w odróżnieniu aktywności użytkownika od działań sterowanych przez operatora malware. Kontekstowe uruchamianie funkcji trojana sprawia, iż część zabezpieczeń może zobaczyć jedynie fragment zdarzeń lub błędnie uznać je za normalne zachowanie klienta.
Rekomendacje
Obrona przed JanelaRAT wymaga podejścia wielowarstwowego, obejmującego zarówno zabezpieczenia poczty, jak i monitoring procesów, autostartu oraz nietypowych zależności między legalnymi plikami wykonywalnymi i bibliotekami DLL.
- blokować lub ściśle kontrolować pliki MSI, VBS, LNK i archiwa ZIP dostarczane e-mailem,
- monitorować legalne procesy ładujące nietypowe biblioteki DLL,
- wdrożyć detekcję DLL side-loading oraz podejrzanych wpisów w autostarcie,
- analizować połączenia TCP do nieznanej infrastruktury C2,
- wykrywać uruchamianie PowerShell i cmd.exe przez procesy z nietypowych lokalizacji,
- kontrolować nieautoryzowane rozszerzenia i parametry uruchamiania przeglądarek,
- stosować EDR z rozbudowaną telemetrią procesów i aktywności użytkownika,
- regularnie szkolić pracowników z rozpoznawania phishingu podszywającego się pod dokumenty finansowe.
W środowiskach o podwyższonym ryzyku warto dodatkowo ograniczyć możliwość instalacji systemu przez użytkowników, wdrożyć allowlisting aplikacji, monitorować nietypowe nakładki ekranowe oraz segmentować stanowiska wykorzystywane do operacji finansowych. Duże znaczenie ma też stosowanie metod uwierzytelniania odpornych na phishing wszędzie tam, gdzie jest to możliwe.
Podsumowanie
JanelaRAT pokazuje, jak gwałtownie ewoluują współczesne trojany finansowe. To już nie tylko malware do kradzieży danych, ale narzędzie pozwalające prowadzić oszustwa w czasie rzeczywistym, z aktywnym udziałem operatora i przy wykorzystaniu interfejsu ofiary.
Połączenie phishingu, wieloetapowej infekcji, DLL side-loading, trwałości w systemie, monitorowania aktywnego okna i fałszywych nakładek ekranowych sprawia, iż wykrywanie zagrożenia wymaga korelacji wielu sygnałów. Dla zespołów bezpieczeństwa oznacza to konieczność obserwacji nie tylko samego malware, ale także relacji między procesami, aktywnością użytkownika i zachowaniem aplikacji finansowych.
Źródła
- The Hacker News – JanelaRAT Malware Targets Latin American Banks with 14,739 Attacks in Brazil in 2025 — https://thehackernews.com/2026/04/janelarat-malware-targets-latin.html
- Securelist – JanelaRAT: banking Trojan campaigns targeting Latin America — https://securelist.com/
- Zscaler ThreatLabz – JanelaRAT technical analysis — https://www.zscaler.com/blogs/security-research
- KPMG – Analysis of JanelaRAT infection chain and browser extension abuse — https://assets.kpmg.com/
