POR: REDACCIÓN
Kaspersky, empresa global de ciberseguridad, alertó este lunes sobre la evolución de un troyano de acceso remoto (RAT) que ahora no solo roba credenciales, sino que también es capaz de interceptar y manipular operaciones bancarias en tiempo real en América Latina, con especial enfoque en México y Brasil.
A través de un comunicado, la firma explicó cómo opera esta amenaza y compartió recomendaciones para evitar caer en este tipo de fraude.
Investigadores del equipo Kaspersky GReAT detectaron una nueva versión de JanelaRAT, un malware que se hace pasar por aplicaciones legítimas, como programas de pixel art, para engañar a los usuarios.
Este troyano es una variante modificada del antiguo BX RAT de 2014 y está dirigido principalmente a usuarios del sector bancario, fintech y de criptomonedas en América Latina.
El proceso de infección inicia con correos de phishing que contienen archivos comprimidos con scripts maliciosos en formato VBS. Cuando el usuario abre estos archivos, permite la instalación del malware en su dispositivo.
De acuerdo con Kaspersky, durante 2025 se registraron:
- 14 mil 739 ataques en Brasil
- 11 mil 695 ataques en México
“JanelaRAT sigue siendo una amenaza activa y en evolución, con intrusiones que mantienen características consistentes pese a las modificaciones continuas. Hemos seguido su evolución durante algún tiempo, observando variaciones tanto en el malware como en su cadena de infección, incluyendo variantes específicas por país”
María Isabel Manjarrez, Investigadora de Seguridad para América Latina en el Equipo Global de Investigación y Análisis de Kaspersky
La nueva versión de este malware incorpora mecanismos más sofisticados para engañar a las víctimas.
Cuando detecta que el usuario abre una ventana bancaria, despliega una pantalla falsa en tamaño completo que imita la interfaz real del banco o del sistema operativo. A partir de ahí:
- Bloquea la interacción del usuario mediante cuadros de diálogo falsos
- Captura contraseñas y tokens de autenticación multifactor (MFA)
- Simula pantallas de carga o actualizaciones del sistema
- Oculta temporalmente ventanas legítimas
Este sistema de “superposición engañosa” permite a los atacantes secuestrar la sesión bancaria sin que el usuario lo note.
Además, analiza la actividad del usuario y su rutina para identificar el mejor momento para ejecutar acciones maliciosas.
Kaspersky detalló que esta es la versión, la 33 de JanelaRAT, presenta variaciones en su cadena de infección dependiendo de la campaña.
En la más reciente, los atacantes utilizan una técnica conocida como DLL sideloading, que les permite ocultar el malware dentro de archivos aparentemente legítimos.
Una vez instalado, JanelaRAT:
- Monitorea la actividad de la víctima
- Intercepta interacciones bancarias sensibles
- Establece comunicación directa con los atacantes
- Ejecuta operaciones remotas sin autorización
María Isabel Manjarrez, subrayó que esta nueva versión representa un salto importante en las capacidades de los atacantes.
“Esta nueva versión representa un avance significativo en las capacidades de los atacantes, al combinar múltiples canales de comunicación, monitoreo completo de la víctima, superposiciones interactivas, inyección de entradas y funciones robustas de control remoto. Además, está diseñado para minimizar su visibilidad y adaptar su comportamiento ante la detección de software antifraude”, detalló.
Ante este escenario, Kaspersky emitió una serie de recomendaciones para reducir el riesgo de caer en este fraude:
- Evitar abrir o descargar archivos sospechosos recibidos por correo o mensajería
- Utilizar soluciones de seguridad confiables en todos los dispositivos
- Activar la opción de mostrar extensiones de archivo en Windows
- Desconfiar de correos que simulan ser de bancos o tiendas en línea
