JanelaRAT: A Nova Ameaça Digital que Engana Brasileiros e Ronda Contas Bancárias com Telas Falsas

Por /

Nova variante do trojan utiliza instalador MSI, sobreposições em tela cheia e rotação diária de servidores C2 para fraudar clientes de bancos brasileiros e mexicanos

Uma nova versão do JanelaRAT se camufla como um aplicativo de pixel art em dispositivos Windows, visando usuários de instituições financeiras no Brasil e em outros países da América Latina.

O trojan de acesso remoto (RAT) é uma evolução do BX RAT, que apareceu em 2014. Ele emprega um sistema de sobreposição de telas para contornar a autenticação de múltiplos fatores, capturando senhas e tokens. Com isso, os criminosos conseguem realizar monitoramento e transações em tempo real.

  • O que é um Trojan de Acesso Remoto: É um malware que se disfarça de software legítimo com o intuito de roubar informações de sistemas e contas.

Esse malware tem como principais alvos usuários de bancos, fintechs e serviços de criptomoeda, e geralmente é disseminado por e-mails que contêm arquivos maliciosos. Esses e-mails frequentemente se passam por faturas eletrônicas ou documentos importantes. Ao clicar em links ou baixar arquivos anexados, como ZIPs ou PDFs, o malware é instalado nos dispositivos Windows sem que a vítima perceba.

E-mail de phishing utilizado na campanha do JanelaRAT simula uma notificação de fatura para induzir a vítima a baixar um arquivo malicioso hospedado no Dropbox. Imagem: Kaspersky.

Alguns e-mails podem incluir botões ou ícones que parecem legítimos, incentivando o usuário a baixar o arquivo malicioso.

Leia Mais

Hackers do Irã atacam sistemas de água e energia nos EUA

Início do ataque com e-mails falsos

A partir do momento em que o malware é ativado, os criminosos monitoram a atividade do usuário, especialmente ao acessar serviços bancários. Com o JanelaRAT, eles conseguem interceptar transações em tempo real através de janelas falsas. Isso resulta na captura de senhas, códigos de autenticação e tokens, além de interferir nas operações enquanto o acesso ao banco está ativo.

A técnica de sobreposição de tela utilizada pelo malware exibe janelas falsas que imitam o site do banco ou até mesmo atualizações do sistema, cobrindo a tela original.

Diagrama da Kaspersky mostrando a evolução das cadeias de infecção do JanelaRAT entre março de 2024 e setembro de 2025, com simplificação das etapas até a entrega da carga final. Imagem: Kaspersky.

Nessas telas, a vítima é levada a digitar senhas ou códigos, que são imediatamente registrados pelos criminosos. Esta versão é ainda capaz de burlar a autenticação multifator, recebendo códigos de verificação enviados pelo banco.

Infecção mais rápida, mas igualmente perigosa

A investigação da Kaspersky revelou que os arquivos ZIP usados na campanha frequentemente continham scripts VBScript, arquivos XML, e auxiliares que facilitam a instalação do JanelaRAT. Contudo, a versão mais recente tem simplificado essa cadeia, utilizando arquivos MSI para instalar um executável genuíno acompanhado da DLL maliciosa, que é instalada pelo próprio executável.

Instalador projetado para disfarce

O arquivo MSI age como instalador inicial: ele garante a persistência e dificulta a análise por meio da ofuscação de caminhos e nomes de arquivos. Ele também utiliza componentes ActiveX para manipular o sistema de arquivos e executar comandos.

Código do JanelaRAT mostrando função de monitoramento de inatividade: o malware apenas aciona certas rotinas após 10 minutos sem interação do usuário. Imagem: Kaspersky.

Durante a execução, o MSI define diretórios com base em variáveis de ambiente e cria um atalho na pasta de inicialização do sistema. Se for a primeira vez que o malware roda, é criado um marcador. Se este já existir, o instalador redireciona a vítima para uma página externa, simulando um comportamento legítimo.

Na prática, dois arquivos são instalados — um executável e uma DLL, ambos renomeados aleatoriamente antes de serem reposicionados. Um atalho LNK na pasta de inicialização aponta para o executável, que carrega a DLL com o JanelaRAT ao ser executado.

Leia Mais

Após vazamento, Claude Code pode ser usado de graça

Disfarçado como app de pixel art, focado em fraudes financeiras

A variante analisada se disfarça como um aplicativo de pixel art e usa técnicas clássicas de ofuscação em .NET, dificultando a análise do código. O principal objetivo é a fraude financeira.

O objetivo do JanelaRAT é a fraude financeira: com acesso total à sessão bancária da vítima, os operadores podem transferir valores em tempo real sem a necessidade de roubar senhas.

O malware monitora as atividades da vítima, intercepta interações sensíveis em ambientes bancários e mantém uma comunicação constante com um servidor de comando e controle (C2). Além de coletar informações do sistema e do perfil do usuário, o trojan utiliza mutexes para evitar múltiplas instâncias do software em execução simultânea.

A comunicação com o C2 é realizada através de strings criptografadas utilizando base64 e AES, e o canal é mantido ativo por meio de socket TCP. O malware também monitora a inatividade do usuário, envia periodicamente beacons HTTP com informações do ambiente comprometido e realiza o download de cargas adicionais, reforçando a persistência via scripts PowerShell.

Sequestro de sessão bancária em tempo real

O JanelaRAT examina constantemente a janela ativa para identificar títulos associados a instituições financeiras. Ao detectar um alvo, ele estabelece um canal dedicado com o C2 em questão de segundos. Nesse ponto, os operadores têm a capacidade de capturar a tela, registrar entradas de teclado, simular comandos e até sequestrar a sessão bancária.

Leia Mais

Site falso do Claude distribui vírus para invasão remota de PCs

Apesar do foco em desktops Windows, o JanelaRAT também possui recursos de monitoramento remoto que podem afetar usuários móveis em ambientes bancários.

Diferente das versões anteriores, esta variante altera o servidor C2 diariamente. O domínio é criado dinamicamente ao unir uma string ofuscada, a data atual e um sufixo associado a um serviço de DNS dinâmico (DDNS) legítimo.

Telas falsas e captura de credenciais

Ao reconhecer um site bancário, o malware consulta o C2 e apresenta uma interface falsa em tela cheia — geralmente enviada em Base64 — que imita páginas legítimas ou alertas do sistema, bloqueando qualquer interação da vítima.

O golpe utiliza janelas modais que simulam desde formulários de login até mensagens de “atualização do Windows”, sempre com mensagens em português para aumentar a credibilidade. Os operadores têm a capacidade de exibir alertas personalizados mantidos em primeiro plano, obstruindo o acesso a outras janelas.

O JanelaRAT visa sistemas Windows e utiliza recursos nativos do sistema operacional, como objetos ActiveX e a pasta de inicialização, para garantir sua persistência.

Nos bastidores, o malware inclui verificações para evitar a análise, detectando ambientes através de componentes de acessibilidade e reforçando sua persistência com scripts na pasta de inicialização do Windows, executados silenciosamente em cada logon. O foco permanece em instituições financeiras da América Latina, principalmente no Brasil e no México.

Leia Mais

Drone de R$ 1 bilhão dos EUA desaparece perto do Irã após alerta de emergência

Como se proteger

Para manter a segurança, a Kaspersky recomenda que os usuários:

• Tenham cuidado ao abrir arquivos ou links recebidos por e-mail ou mensagem, pois podem conter malware.
• Utilizem um software de segurança confiável em todos os dispositivos, como o Kaspersky Premium, para prevenir infecções.
• Ativem a opção de visualizar extensões de arquivos no Windows e desconfiem de arquivos com extensões como “exe”, “vbs” ou “scr”, que podem ser maliciosos.
• Estejam atentos a e-mails falsos que imitam bancos ou lojas e nunca cliquem em links suspeitos.

Acompanhe a TecMania nas redes sociais. Para mais notícias sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

Rolar para cima