Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
JanelaRAT to złośliwe oprogramowanie typu remote access trojan (RAT), które od początku było projektowane z myślą o atakach na użytkowników usług finansowych. Zagrożenie jest szczególnie aktywne w Ameryce Łacińskiej, przede wszystkim w Brazylii i Meksyku, gdzie operatorzy prowadzą kampanie wymierzone w klientów banków oraz osoby korzystające z usług finansowych i kryptowalutowych.
Charakterystyczną cechą JanelaRAT jest połączenie funkcji klasycznego trojana bankowego z możliwościami zdalnej administracji nad zainfekowanym systemem. Oznacza to, że malware nie ogranicza się do biernej kradzieży danych, lecz może aktywnie obserwować użytkownika, analizować jego działania i ingerować w przebieg sesji bankowej.
W skrócie
W 2025 roku odnotowano 14 739 prób ataku JanelaRAT w Brazylii oraz 11 695 w Meksyku, co pokazuje skalę i konsekwencję prowadzonych kampanii. Ataki rozpoczynają się najczęściej od wiadomości phishingowych podszywających się pod niezapłacone faktury lub dokumenty finansowe.
- kampanie wykorzystują archiwa ZIP i wieloetapowy łańcuch infekcji,
- obecne warianty stosują instalatory MSI jako droppery,
- do uruchamiania malware wykorzystywana jest technika DLL side-loading,
- trwałość w systemie bywa osiągana przez skróty LNK w folderze autostartu,
- malware monitoruje aktywne okna i reaguje na uruchomienie usług bankowych.
Kontekst / historia
JanelaRAT został publicznie opisany w 2023 roku jako zagrożenie powiązane z rodziną BX RAT. W pierwszych analizach wskazywano wykorzystanie archiwów ZIP zawierających skrypty Visual Basic Script, które pobierały kolejne komponenty i finalnie uruchamiały trojana z użyciem DLL side-loading.
Z czasem operatorzy zmienili sposób dostarczania ładunku. Od co najmniej maja 2024 roku zaobserwowano przesunięcie w stronę instalatorów MSI, które pełnią funkcję dropperów i inicjują kolejne etapy infekcji. W analizach pojawiały się również elementy napisane w Go, PowerShell oraz skryptach batch, co wskazuje na stopniowy rozwój zaplecza operacyjnego i zwiększanie odporności kampanii na detekcję.
Taka ewolucja pokazuje, że JanelaRAT nie jest pojedynczą, krótkotrwałą kampanią, lecz aktywnie utrzymywanym narzędziem cyberprzestępczym. Operatorzy regularnie modyfikują techniki dostarczania i uruchamiania malware, aby zwiększyć skuteczność ataków oraz utrudnić pracę systemom ochronnym.
Analiza techniczna
Łańcuch infekcji zwykle zaczyna się od phishingu. Ofiara otrzymuje wiadomość, która zachęca do kliknięcia odnośnika związanego z rzekomą fakturą, rozliczeniem lub pilnym dokumentem. Następnie pobierane jest archiwum ZIP albo inny zasób inicjujący dalsze etapy instalacji.
Po uruchomieniu pakietu rozpoczyna się wieloetapowy proces, w którym wykorzystywane są skrypty i legalne komponenty systemowe. Końcowym elementem jest często załadowanie złośliwej biblioteki DLL przez legalny plik wykonywalny. Dzięki technice DLL side-loading aktywność trojana zostaje ukryta w kontekście zaufanego procesu, co utrudnia wykrycie przez rozwiązania oparte wyłącznie na prostych sygnaturach.
Po instalacji JanelaRAT nawiązuje komunikację z serwerem C2 przez gniazdo TCP, rejestruje infekcję i rozpoczyna analizę środowiska ofiary. Jednym z kluczowych mechanizmów jest monitorowanie tytułu aktywnego okna. Jeśli nazwa otwartego okna odpowiada zapisanej w kodzie liście instytucji finansowych lub usług powiązanych z bankowością, malware może uruchomić dodatkowy kanał komunikacji i umożliwić operatorowi wykonanie zdalnych działań.
Funkcjonalnie JanelaRAT łączy cechy trojana bankowego, narzędzia do zdalnego dostępu i modułu nadzorującego zachowanie użytkownika. Do przypisywanych mu możliwości należą:
- wykonywanie i wysyłanie zrzutów ekranu,
- wycinanie fragmentów ekranu i ich eksfiltracja,
- przechwytywanie naciśnięć klawiszy,
- symulowanie działań myszy i klawiatury,
- uruchamianie poleceń przez cmd.exe i PowerShell,
- wyświetlanie fałszywych komunikatów oraz pełnoekranowych nakładek,
- zbieranie metadanych systemowych,
- wykrywanie środowisk sandbox i narzędzi analitycznych,
- rozpoznawanie systemów antyfraudowych.
Istotnym elementem działania najnowszych wariantów jest także monitorowanie aktywności użytkownika. Malware sprawdza czas od ostatniej interakcji z systemem i przekazuje operatorowi informację o okresach bezczynności. To pozwala lepiej dobrać moment przeprowadzenia zdalnych operacji, zwłaszcza tych, które wymagają mniejszego ryzyka zauważenia przez ofiarę.
W poprzednich analizach wskazywano również możliwość wykorzystania złośliwego rozszerzenia dla przeglądarek opartych na Chromium. Taki komponent może zwiększać zakres zbieranych danych o historię przeglądania, pliki cookie, informacje o kartach i listę rozszerzeń, a także wspierać manipulowanie uruchomieniem przeglądarki podczas sesji bankowej.
Konsekwencje / ryzyko
JanelaRAT stanowi poważne zagrożenie zarówno dla klientów banków, jak i dla samych instytucji finansowych. Ryzyko nie kończy się na kradzieży loginów i haseł. Malware potrafi aktywnie ingerować w sesję użytkownika, wyświetlać fałszywe komunikaty oraz wykonywać działania sterowane zdalnie, co znacząco zwiększa skuteczność oszustw finansowych.
Najpoważniejsze konsekwencje obejmują przejęcie poświadczeń, kradzież danych bankowych i kryptowalutowych, manipulację interfejsem użytkownika oraz prowadzenie oszustw w czasie rzeczywistym. Zdolność do wykrywania narzędzi antyfraudowych sugeruje ponadto, że operatorzy starają się adaptacyjnie omijać istniejące mechanizmy obronne.
Z perspektywy organizacji szczególnie niebezpieczne jest połączenie phishingu, legalnych plików binarnych, skryptów wieloetapowych i mechanizmów trwałości. Taki model działania utrudnia detekcję, jeśli monitoring ogranicza się wyłącznie do pojedynczych wskaźników kompromitacji.
Rekomendacje
Ograniczenie ryzyka związanego z JanelaRAT wymaga podejścia wielowarstwowego. Ochrona powinna obejmować zarówno pocztę elektroniczną, jak i endpointy, przeglądarki, ruch sieciowy oraz analizę zachowań użytkownika.
- wzmacniać ochronę poczty przed phishingiem i analizować podejrzane załączniki oraz odnośniki,
- stosować sandboxing dla wiadomości związanych z fakturami i dokumentami finansowymi,
- monitorować uruchamianie instalatorów MSI z nietypowych lokalizacji,
- wykrywać przypadki DLL side-loading i ładowania nieoczekiwanych bibliotek,
- analizować tworzenie skrótów LNK w folderach autostartu Windows,
- kontrolować nietypowe sekwencje uruchamiania PowerShell, cmd.exe i skryptów batch,
- rejestrować manipulacje parametrami startowymi przeglądarek i ładowanie niestandardowych rozszerzeń,
- budować reguły behawioralne łączące phishing, pobranie ZIP, uruchomienie legalnego EXE i załadowanie złośliwej DLL,
- monitorować procesy wykonujące zrzuty ekranu, symulujące wejście użytkownika i komunikujące się z C2,
- szkolić użytkowników końcowych w rozpoznawaniu prób phishingu.
Dla zespołów SOC i threat huntingu szczególnie wartościowe będzie wykrywanie procesów reagujących na tytuły aktywnych okien, obserwacja anomalii w interfejsie użytkownika oraz identyfikacja wzorców wskazujących na przejęcie sesji bankowej lub użycie ekranowych nakładek.
Podsumowanie
JanelaRAT to rozwijające się zagrożenie bankowe, które skutecznie łączy phishing, techniki living-off-the-land, DLL side-loading oraz aktywne przejmowanie interakcji użytkownika. Skala kampanii w Brazylii i Meksyku pokazuje, że operatorzy dysponują dojrzałym zapleczem technicznym i dobrze rozumieją specyfikę lokalnych celów.
Najgroźniejszym elementem tego malware nie jest wyłącznie kradzież danych, lecz zdolność do obserwowania ofiary, wykrywania momentów aktywności i zdalnego wpływania na legalną sesję finansową. Obrona przed takim zagrożeniem wymaga korelacji telemetryki z wielu warstw oraz połączenia klasycznych zabezpieczeń z analizą behawioralną.
Źródła
- The Hacker News — https://thehackernews.com/2026/04/janelarat-malware-targets-latin.html
- Kaspersky Securelist — https://securelist.com/janelarat-banking-trojan-targeting-latin-america/116806/
- Zscaler ThreatLabz — https://www.zscaler.com/blogs/security-research/janelarat-brazilian-banking-trojan
- KPMG — https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2025/07/janelarat-analysis.pdf