Investigadores de la firma de ciberseguridad Kaspersky han detectado una evolución significativa en JanelaRAT, un troyano de acceso remoto que ahora permite a los atacantes interceptar y manipular operaciones bancarias en el momento exacto en que ocurren.
Esta amenaza se dirige principalmente a usuarios en América Latina, con una incidencia crítica en Brasil y México, donde se registraron 14.739 y 11.695 ataques respectivamente durante el año 2025.
JanelaRAT es una variante modificada del antiguo BX RAT que ha sido adaptada para atacar sectores específicos como la banca tradicional, las empresas fintech y el mercado de criptomonedas. El proceso de infección comienza usualmente con correos electrónicos de suplantación de identidad o phishing. Estos mensajes contienen archivos comprimidos con scripts maliciosos que, una vez ejecutados por el usuario, inician una cadena de descarga por etapas.
En su versión más reciente, identificada como la versión 33, el malware utiliza una técnica conocida como DLL sideloading para pasar desapercibido ante los sistemas de defensa básicos. Una vez instalado, el programa monitorea la actividad del dispositivo y espera el momento en que la víctima accede a sus cuentas financieras para activar sus funciones de control remoto.
Uso de pantallas superpuestas para el robo de datos
Una de las características más peligrosas de esta actualización es la implementación de un sistema de superposición engañosa. Cuando el malware detecta que el usuario ha abierto una ventana de banca en línea, despliega una imagen a pantalla completa que imita la interfaz legítima del banco o del sistema operativo.
A través de esta pantalla falsa, los atacantes bloquean la interacción real del usuario y presentan cuadros de diálogo controlados de forma remota. Estos elementos se utilizan para engañar a la víctima y solicitarle información sensible, como contraseñas o tokens de autenticación de múltiples factores. Para evitar sospechas, el malware suele mostrar pantallas de carga simuladas o supuestas actualizaciones de Windows mientras los delincuentes realizan las operaciones en segundo plano.
Alcance y recomendaciones de seguridad
Maria Isabel Manjarrez, investigadora de seguridad en el equipo global de investigación y análisis de Kaspersky, señala que esta versión representa un avance importante en las capacidades de los cibercriminales. Según la especialista, la amenaza combina el monitoreo completo de la víctima con funciones robustas de control remoto y la capacidad de adaptar su comportamiento para evadir software antifraude.
Para reducir el riesgo de infección por JanelaRAT u otras amenazas similares, se recomienda mantener una postura de cautela frente a archivos recibidos por correo electrónico o aplicaciones de mensajería. Es fundamental contar con soluciones de seguridad actualizadas en todos los dispositivos y habilitar la visualización de extensiones de archivos en el sistema operativo. Prestar atención a extensiones como .exe, .vbs o .scr puede ayudar a identificar programas maliciosos antes de su ejecución. Asimismo, se aconseja verificar siempre la procedencia de las notificaciones bancarias para evitar caer en tácticas de suplantación de identidad.
Fuente: Kaspersky
