Una familia de malware con motivación financiera conocida como JanelaRAT ha resurgido en una forma significativamente evolucionada, incorporando cadenas de entrega de múltiples etapas, manipulación de navegadores y capacidades de secuestro de sesiones en tiempo real dirigidas a instituciones financieras en América Latina. Las campañas recientes observadas durante 2025 y hasta 2026 indican una actividad operativa sostenida, con decenas de miles de intentos de infección registrados solo en Brasil y México. El malware, originalmente derivado del código base de BX RAT de hace una década, ha experimentado un refinamiento arquitectónico y operativo que lo posiciona más como un framework de intrusión interactivo que como un troyano bancario tradicional.
Vector de infección y mecanismos de acceso inicial
La cadena de intrusión comienza con campañas de phishing que imitan de forma convincente comunicaciones transaccionales o financieras, a menudo tematizadas como facturas, confirmaciones de pago o avisos de entrega. Se induce a las víctimas a descargar archivos comprimidos que contienen cargadores basados en scripts en múltiples capas. Estos archivos frecuentemente incluyen scripts en Visual Basic (VBS), archivos batch y artefactos de configuración XML, a veces anidados dentro de varias capas de compresión para dificultar la inspección estática.
La ejecución del componente VBS inicia el descargador de primera etapa a través de Windows Script Host. El script utiliza utilidades nativas del sistema para recuperar cargas adicionales desde infraestructura controlada por los atacantes. Esta etapa es deliberadamente ligera, diseñada para evadir detección basada en firmas mientras establece el punto de apoyo necesario para entregar componentes más complejos.
En iteraciones más recientes, los operadores han migrado hacia mecanismos de entrega basados en MSI, lo que representa una evolución notable en la campaña. Estos instaladores maliciosos, a menudo alojados en plataformas legítimas como GitLab, abusan de la funcionalidad de Windows Installer para ejecutar scripts embebidos y desplegar cargas útiles. Los paquetes MSI hacen uso de objetos ActiveX para manipular el sistema de archivos y variables de entorno de forma dinámica, permitiendo rutas de instalación flexibles y reduciendo indicadores estáticos.
Cadena de ejecución y estrategia de DLL side-loading
Tras la ejecución inicial, la cadena de infección pivota hacia una de sus técnicas de evasión más efectivas: el DLL side-loading. El malware despliega un ejecutable legítimo—observado en múltiples casos como una aplicación benigna como nevasca.exe—junto con una biblioteca dinámica maliciosa, comúnmente llamada PixelPaint.dll. Cuando se lanza el ejecutable, este carga implícitamente la DLL maliciosa debido a la precedencia en el orden de búsqueda, ejecutando así el payload de JanelaRAT bajo la apariencia de un binario confiable.
Este enfoque permite al malware evadir mecanismos de control de aplicaciones y sistemas de detección en endpoints que dependen de la reputación del proceso. Dado que el proceso padre es legítimo, las anomalías de comportamiento son más difíciles de distinguir sin una inspección profunda de la secuencia de carga de módulos.
La persistencia se logra mediante la creación de accesos directos en directorios de inicio o a través de entradas de autorun en el registro. Estos mecanismos garantizan la ejecución al iniciar sesión, manteniendo el acceso a través de reinicios del sistema sin requerir escalamiento de privilegios.
Modelo de comunicación de comando y control
JanelaRAT mantiene comunicación con su infraestructura de comando y control mediante un protocolo personalizado basado en TCP, heredado y modificado de la implementación original de BX RAT. Los datos intercambiados entre el host infectado y el servidor C2 se serializan en arreglos estructurados, se comprimen usando algoritmos LZ4 y se cifran mediante un esquema similar a RC4. Esta combinación reduce el tamaño de los datos y ofusca su contenido, dificultando la inspección a nivel de red.
La infraestructura depende en gran medida de servicios de DNS dinámico, lo que permite la rotación rápida de direcciones IP y patrones de resolución de dominio. Notablemente, algunos dominios están configurados para resolverse únicamente en ventanas de tiempo específicas, lo que sugiere disciplina operativa orientada a minimizar la exposición y el riesgo de sinkholing.
Manipulación del navegador e inyección de extensiones
Una de las características más distintivas de la variante actual de JanelaRAT es su integración profunda con navegadores basados en Chromium. Tras su ejecución, el malware enumera los navegadores instalados y modifica sus parámetros de arranque para incluir flags como:
--load-extension
Esto obliga al navegador a cargar una extensión maliciosa controlada por el atacante. A diferencia de los infostealers tradicionales que extraen contraseñas almacenadas, este método permite una manipulación persistente a nivel de ejecución del navegador.
La extensión inyectada permite la recolección de cookies, tokens de sesión, historial de navegación y metadatos de pestañas, otorgando al atacante visibilidad sobre sesiones activas en lugar de credenciales estáticas. Esta distinción es crítica, ya que permite comprometer sesiones autenticadas sin activar controles de seguridad basados en el inicio de sesión.
Monitoreo de ventanas y reconocimiento financiero dirigido
JanelaRAT incorpora un mecanismo de monitoreo de títulos de ventana que escanea continuamente procesos activos en busca de cadenas asociadas con instituciones financieras específicas. Los datos de configuración embebidos en el malware incluyen identificadores de bancos como BBVA México, Santander, Citibanamex y Banorte, entre otros.
Cuando se detecta una coincidencia—ya sea por título de ventana o patrones de URL—el malware transiciona a una fase activa de ataque. Este enfoque dirigido reduce el ruido y asegura que las acciones intrusivas solo se ejecuten cuando se detectan sesiones de alto valor, aumentando tanto el sigilo como la tasa de éxito.
Inyección de overlays y secuestro de sesiones
La capacidad técnicamente más significativa de JanelaRAT radica en su habilidad para secuestrar sesiones bancarias mediante la inyección de overlays. Al detectar que un usuario ha accedido a un servicio financiero objetivo, el malware renderiza una superposición a pantalla completa diseñada para replicar la interfaz legítima del banco.
Este overlay cumple múltiples funciones. Bloquea la interacción del usuario con la aplicación real, captura credenciales ingresadas en la interfaz falsificada y puede solicitar factores adicionales de autenticación como códigos OTP. En algunos casos, el overlay imita notificaciones del sistema, incluyendo falsas pantallas de actualización de Windows, para ocultar aún más su presencia.
A diferencia del phishing convencional, que redirige a los usuarios a dominios fraudulentos, esta técnica opera completamente dentro del contexto de una sesión legítima. Como resultado, evade controles de seguridad basados en dominio y explota la confianza del usuario en la sesión activa.
Interacción en tiempo real y control por parte del operador
Más allá de la recolección automatizada de datos, JanelaRAT soporta interacción en tiempo real entre el atacante y el sistema comprometido. Esto incluye capacidades de captura de pantalla, registro de teclas y simulación de entradas de mouse. Los operadores pueden monitorear la actividad del usuario en vivo e iniciar acciones en momentos estratégicamente seleccionados, como durante transacciones financieras.
Este nivel de interactividad transforma al malware en una plataforma operativa en lugar de una herramienta pasiva. Los atacantes pueden “acompañar” al usuario, manipulando transacciones o inyectando prompts adicionales sin levantar sospechas inmediatas.
Investigadores de Kaspersky señalan que este comportamiento representa un cambio hacia malware financiero más interactivo, donde el timing y el comportamiento del usuario juegan un papel central en el éxito del ataque.
Técnicas de evasión y medidas anti-análisis
JanelaRAT emplea múltiples capas de evasión para evitar la detección y el análisis. La ofuscación de cadenas y la configuración cifrada dificultan el análisis estático, mientras que los cargadores multi-etapa reducen la visibilidad del payload completo durante la ejecución inicial.
El malware también incorpora ejecución diferida y verificaciones de estado inactivo para evadir entornos sandbox, que suelen depender de ventanas cortas de observación. En algunos casos, se implementa comportamiento señuelo, redirigiendo al usuario a sitios legítimos tras la ejecución inicial para enmascarar la actividad maliciosa.
El uso de binarios legítimos para la ejecución, combinado con infraestructura dinámica y entrega por etapas, complica significativamente la detección tanto a nivel endpoint como de red.
Evolución desde BX RAT y desarrollo de la campaña
El linaje de JanelaRAT se remonta a BX RAT, una herramienta de acceso remoto de tipo commodity observada por primera vez en 2014. Sin embargo, la variante actual muestra una divergencia sustancial respecto a su predecesor. Mientras BX RAT ofrecía capacidades genéricas de administración remota, JanelaRAT ha sido reutilizado y optimizado específicamente para fraude financiero.
Datos recientes de campañas indican una transición desde cadenas de entrega simples basadas en VBS hacia instaladores MSI más sofisticados, reflejando un esfuerzo continuo por optimizar la ejecución y reducir la dependencia de scripts fácilmente detectables. La configuración también ha evolucionado para soportar targeting dinámico y flexibilidad en la infraestructura.
Investigadores de Zscaler y Kaspersky han observado de forma independiente estos desarrollos, señalando que el diseño del malware se alinea cada vez más con operaciones de intrusión financiera dirigidas en lugar de recolección oportunista de credenciales.
Patrones operativos e implicaciones estratégicas
La concentración de actividad en América Latina sugiere un enfoque deliberado en regiones donde la infraestructura bancaria y el comportamiento de los usuarios pueden presentar condiciones explotables. La inclusión de instituciones financieras específicas de la región dentro de la configuración del malware refuerza este enfoque dirigido.
Desde una perspectiva analítica, JanelaRAT representa una convergencia de múltiples paradigmas de ataque: funcionalidad tradicional de RAT, explotación basada en navegador y ingeniería social derivada del phishing. Su capacidad para operar dentro de sesiones legítimas e interactuar con usuarios en tiempo real marca una desviación significativa respecto a generaciones anteriores de malware bancario.
Esta evolución pone de manifiesto una tendencia más amplia en la actividad criminal con motivación financiera, donde los atacantes priorizan el control de sesiones de usuario en lugar de la simple extracción de datos estáticos. Las implicaciones van más allá del robo de credenciales, permitiendo manipulación de transacciones y acceso sostenido dentro de entornos de confianza.
Investigadores destacan que el diseño modular del malware y su refinamiento continuo sugieren desarrollo activo y uso operativo constante, en lugar de tratarse de una campaña aislada.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
