Tag: PowerShell

Wprowadzenie do problemu / definicja

AgingFly to nowo zidentyfikowana rodzina złośliwego oprogramowania wykorzystywana w ukierunkowanych atakach na instytucje publiczne oraz placówki ochrony zdrowia w Ukrainie. Zagrożenie łączy cechy trojana zdalnego dostępu, stealer’a oraz narzędzia post-eksploatacyjnego, co pozwala napastnikom nie tylko uzyskać dostęp do systemu, ale także prowadzić rekonesans, kraść dane i rozwijać operację wewnątrz sieci.

Charakter kampanii pokazuje, że współczesne grupy atakujące coraz częściej wykorzystują wieloetapowe łańcuchy infekcji, legalne komponenty systemu Windows oraz narzędzia open source. Taki model działania utrudnia detekcję, ponieważ złośliwa aktywność miesza się z pozornie normalnymi procesami administracyjnymi i użytkowymi.

W skrócie

Kampania przypisywana klastrowi UAC-0247 była wymierzona w ukraińskie urzędy i szpitale, a według analiz mogła obejmować również podmioty powiązane ze strukturami obronnymi. Atak rozpoczynał się od wiadomości phishingowej podszywającej się pod komunikację dotyczącą pomocy humanitarnej.

Po kliknięciu odsyłacza ofiara trafiała na skompromitowaną lub spreparowaną stronę, z której pobierała archiwum zawierające plik LNK. Następnie uruchamiany był wieloetapowy loader prowadzący do wdrożenia malware AgingFly, zdolnego do wykonywania poleceń, kradzieży plików, przechwytywania wpisywanych znaków, wykonywania zrzutów ekranu oraz pobierania dodatkowych modułów z serwera C2.

• wektor wejścia: phishing i fałszywe lub skompromitowane witryny,
• mechanizmy uruchomienia: LNK, HTA, zaplanowane zadania,
• funkcje końcowe: zdalne sterowanie, eksfiltracja danych, keylogging, screen capture,
• narzędzia pomocnicze: PowerShell, tunelowanie ruchu, skanowanie portów, kradzież danych z przeglądarek i komunikatorów.

Kontekst / historia

Kampanię zaobserwowano w marcu 2026 roku. Jej charakter wskazuje na kontynuację działań wymierzonych w organizacje o znaczeniu administracyjnym, operacyjnym i społecznym, zwłaszcza te, których zakłócenie może wywołać realne konsekwencje dla funkcjonowania państwa lub bezpieczeństwa obywateli.

Ataki na sektor publiczny i ochronę zdrowia nie są przypadkowe. Instytucje te przetwarzają duże wolumeny wrażliwych informacji, a jednocześnie często działają w środowiskach o złożonej infrastrukturze, gdzie szybkie wdrażanie zmian bezpieczeństwa bywa utrudnione. W przypadku szpitali dodatkową presję stanowi konieczność utrzymania ciągłości świadczenia usług, co może ograniczać możliwość natychmiastowego wyłączenia zainfekowanych systemów.

Na tle innych kampanii AgingFly wyróżnia się tym, że nie opiera się wyłącznie na klasycznym dropperze czy prostym stealerze. To rozbudowany zestaw technik łączący socjotechnikę, nadużycie zaufanych mechanizmów Windows, zdalne pobieranie komponentów i użycie publicznie dostępnych narzędzi ofensywnych.

Analiza techniczna

Łańcuch ataku rozpoczyna się od wiadomości phishingowej. Jej treść ma zachęcić odbiorcę do otwarcia materiałów związanych z pomocą humanitarną, co zwiększa skuteczność kampanii w środowisku objętym konfliktem i działaniami kryzysowymi. Po kliknięciu ofiara trafia na witrynę legalną, lecz wcześniej skompromitowaną przez podatność XSS, albo na stronę stworzoną specjalnie do tej operacji.

Pobrane archiwum zawiera plik skrótu LNK. Jego uruchomienie aktywuje mechanizm HTA, który pobiera i wykonuje zdalny plik HTA. Komponent ten pełni podwójną funkcję: wyświetla formularz-wabik odciągający uwagę użytkownika oraz tworzy zaplanowane zadanie odpowiedzialne za pobranie i uruchomienie właściwego pliku wykonywalnego. Kolejny etap obejmuje wstrzyknięcie shellcode do legalnego procesu, co obniża widoczność złośliwego działania.

Następnie wykorzystywany jest dwuetapowy loader. Drugi stopień korzysta z niestandardowego formatu wykonywalnego, a finalny ładunek jest dodatkowo kompresowany i szyfrowany. W wybranych scenariuszach operatorzy używają także komponentu odwrotnej powłoki TCP, umożliwiającego utrzymanie komunikacji z infrastrukturą sterującą. Polecenia wykonywane są z użyciem Windows Command Prompt, a transmisja do C2 jest chroniona prostym mechanizmem XOR.

Po wdrożeniu AgingFly uruchamiany bywa także skrypt PowerShell określany jako SILENTLOOP. Odpowiada on za wykonywanie poleceń, aktualizację konfiguracji oraz pobieranie aktualnego adresu serwera C2 z kanału Telegram lub źródeł zapasowych. Taka konstrukcja daje operatorom większą odporność na blokowanie pojedynczych elementów infrastruktury.

Sam malware został napisany w C# i komunikuje się z serwerem C2 przez WebSockety. Ruch jest zabezpieczany z wykorzystaniem AES-CBC ze statycznym kluczem. Funkcjonalnie AgingFly oferuje zestaw możliwości typowych dla zaawansowanego RAT-a:

• zdalne wykonywanie poleceń,
• eksfiltrację plików i danych,
• rejestrowanie klawiszy,
• wykonywanie zrzutów ekranu,
• uruchamianie dodatkowego kodu dostarczanego przez operatora.

Najbardziej charakterystyczną cechą techniczną jest brak stałych handlerów poleceń w głównej próbce. Zamiast tego odpowiedzialne za funkcje moduły są dostarczane przez C2 jako kod źródłowy, a następnie kompilowane dynamicznie już na zainfekowanym hoście. Z perspektywy napastnika oznacza to mniejszy rozmiar początkowego ładunku, większą elastyczność i utrudnienie analizy statycznej. Z perspektywy obrońcy oznacza to konieczność szukania oznak kompilacji i uruchamiania kodu w czasie działania systemu.

W części odpowiedzialnej za kradzież danych operatorzy wykorzystywali narzędzie ChromElevator do odszyfrowywania informacji zapisanych w przeglądarkach opartych na Chromium, takich jak Chrome, Edge czy Brave. Celem były zapisane hasła i ciasteczka sesyjne. Dodatkowo próbowano pozyskiwać dane z desktopowej wersji WhatsApp przy użyciu narzędzi umożliwiających odszyfrowanie lokalnych baz danych aplikacji.

Po uzyskaniu przyczółka na stacji roboczej napastnicy prowadzili rekonesans i ruch boczny. W tym celu używano publicznie dostępnych narzędzi, w tym RustScan do skanowania portów oraz Ligolo-ng i Chisel do tunelowania ruchu. To szczególnie groźne w środowiskach o słabej segmentacji sieci, gdzie kompromitacja jednego hosta może szybko przełożyć się na penetrację kolejnych systemów.

Konsekwencje / ryzyko

Ryzyko związane z AgingFly należy ocenić jako wysokie. Malware nie ogranicza się do pojedynczego scenariusza użycia, lecz łączy możliwości kradzieży danych, trwałego dostępu i wsparcia dalszej eksploatacji. Oznacza to, że nawet pozornie niewielki incydent phishingowy może stać się początkiem szerszej kompromitacji całej organizacji.

Kradzież haseł, cookies i danych z komunikatorów może prowadzić do przejmowania kont, obchodzenia części mechanizmów opartych na aktywnych sesjach oraz dalszych ataków z wykorzystaniem legalnych tożsamości. W administracji publicznej skutkiem może być utrata informacji wrażliwych i naruszenie poufności komunikacji. W ochronie zdrowia konsekwencje są jeszcze poważniejsze, ponieważ incydent może wpłynąć zarówno na bezpieczeństwo danych medycznych, jak i na ciągłość działania usług.

Dodatkowym problemem jest dynamiczna kompilacja kodu na stacji ofiary. Tego typu technika znacząco ogranicza skuteczność prostych mechanizmów sygnaturowych. Organizacje polegające głównie na klasycznym antywirusie mogą mieć trudność z wykrywaniem podobnych kampanii na wczesnym etapie.

Rekomendacje

Podstawowym krokiem obronnym jest ograniczenie możliwości uruchamiania plików LNK, HTA i JS pochodzących z niezweryfikowanych źródeł. W środowiskach Windows warto wdrożyć polityki Application Control, reguły ASR oraz ograniczenia dla interpreterów i handlerów, które nie są potrzebne w codziennej działalności biznesowej.

Równie ważne jest wzmocnienie ochrony poczty elektronicznej. Obejmuje to filtrowanie wiadomości phishingowych, sandboxing załączników, analizę reputacji odsyłaczy oraz szkolenia użytkowników z rozpoznawania socjotechniki wykorzystującej aktualne i wiarygodnie brzmiące tematy.

Z perspektywy monitoringu warto uwzględnić następujące obszary detekcji:

• nietypowe uruchomienia HTA oraz skrótów LNK,
• tworzenie zaplanowanych zadań przez skrypty lub procesy potomne pochodzące z archiwów,
• dynamiczną kompilację kodu C# na stacjach roboczych,
• odczyt i eksport danych z lokalnych magazynów przeglądarek Chromium,
• nietypowy dostęp do plików i baz danych WhatsApp Desktop,
• użycie tuneli sieciowych i skanerów portów w segmentach użytkowników końcowych,
• połączenia WebSocket do nieznanych hostów oraz anomalie w ruchu PowerShell.

W reakcji na incydent kluczowe jest nie tylko zresetowanie haseł, ale również unieważnienie aktywnych sesji przeglądarek i przegląd mechanizmów persistence. Przy podejrzeniu wycieku cookies sama zmiana hasła może nie wystarczyć, jeśli przejęte sesje pozostaną ważne. Konieczna jest także analiza zakresu ruchu bocznego i szybka izolacja zagrożonych hostów.

Długofalowo organizacje powinny inwestować w segmentację sieci, ograniczanie lokalnych uprawnień administracyjnych, EDR z analizą behawioralną oraz centralne logowanie zdarzeń z punktów końcowych. W instytucjach publicznych i ochronie zdrowia szczególne znaczenie mają gotowe procedury izolacji i eskalacji incydentów.

Podsumowanie

AgingFly jest przykładem nowoczesnego malware zaprojektowanego z myślą o elastycznym rozwijaniu funkcji i utrudnianiu analizy. Kampania wymierzona w ukraińskie instytucje publiczne i szpitale pokazuje, jak skutecznie napastnicy łączą phishing, legalne mechanizmy systemowe, zdalnie dostarczane komponenty oraz narzędzia open source wspierające kradzież danych i ruch boczny.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest praktyczny: skuteczna obrona przed podobnymi zagrożeniami wymaga połączenia polityk ograniczających ryzykowne typy plików, monitoringu behawioralnego, segmentacji sieci oraz szybkiej reakcji na oznaki kradzieży danych uwierzytelniających. W realiach współczesnych kampanii ukierunkowanych sama detekcja sygnaturowa przestaje być wystarczająca.

Źródła

1. BleepingComputer — https://www.bleepingcomputer.com/news/security/new-agingfly-malware-used-in-attacks-on-ukraine-govt-hospitals/
2. CERT-UA report on AGINGFLY / UAC-0247 — https://cert.gov.ua/article/6284518

Wprowadzenie do problemu / definicja

JanelaRAT to trojan zdalnego dostępu (RAT), który został przystosowany do operacji wymierzonych w sektor finansowy i użytkowników bankowości elektronicznej w Ameryce Łacińskiej. Zagrożenie łączy cechy klasycznego malware bankowego z funkcjami umożliwiającymi aktywną interakcję z ofiarą, co pozwala przestępcom nie tylko kraść dane, ale także przejmować kontrolę nad przebiegiem sesji użytkownika.

W praktyce oznacza to przejście od pasywnej kradzieży poświadczeń do modelu ataku, w którym operator może reagować na działania ofiary w czasie rzeczywistym, obserwować ekran, symulować kliknięcia i wyświetlać fałszywe komunikaty przypominające legalne okna bankowe.

W skrócie

W 2025 roku JanelaRAT był wykorzystywany w intensywnych kampaniach wymierzonych głównie w Brazylię i Meksyk. Ataki opierały się przede wszystkim na phishingu, fałszywych dokumentach oraz wieloetapowych łańcuchach infekcji, które finalnie uruchamiały malware z użyciem techniki DLL side-loading.

• malware aktywuje się kontekstowo, gdy użytkownik otwiera aplikację lub stronę powiązaną z bankowością,
• umożliwia przechwytywanie ekranu i naciśnięć klawiszy,
• potrafi symulować działania myszy i klawiatury,
• wykorzystuje pełnoekranowe nakładki do oszustw w czasie rzeczywistym,
• utrudnia wykrycie dzięki użyciu legalnych komponentów i selektywnemu uruchamianiu złośliwych funkcji.

Kontekst / historia

JanelaRAT był wcześniej opisywany jako zmodyfikowany wariant BX RAT. Pierwsze publiczne analizy tej rodziny wskazywały na kampanie oparte na archiwach ZIP, skryptach VBS i prostszych mechanizmach pobierania kolejnych etapów infekcji. Z czasem operatorzy rozbudowali zarówno sam implant, jak i sposób jego dostarczania.

W kolejnych odsłonach kampanii zaczęto wykorzystywać instalatory MSI, legalne pliki wykonywalne oraz komponenty pomocnicze, które miały zwiększyć skuteczność infekcji i utrudnić analizę. Równolegle badacze obserwowali także nadużycia związane ze złośliwymi rozszerzeniami przeglądarek opartych na Chromium. Najnowsze warianty pokazują jednak wyraźną zmianę jakościową: JanelaRAT staje się narzędziem do interaktywnego oszustwa finansowego, a nie tylko do kradzieży danych.

Analiza techniczna

Typowy łańcuch infekcji rozpoczyna się od wiadomości phishingowej podszywającej się pod fakturę, dokument biznesowy lub pilne powiadomienie wymagające reakcji. Ofiara pobiera plik PDF, archiwum ZIP albo uruchamia instalator MSI, który pełni rolę droppera. Następnie wykonywane są kolejne komponenty odpowiedzialne za rozpakowanie ładunku i uruchomienie właściwego malware.

Jednym z kluczowych elementów kampanii jest DLL side-loading. W tym scenariuszu legalny plik binarny ładuje spreparowaną bibliotekę DLL, co pomaga ominąć część mechanizmów ochronnych i utrudnia przypisanie złośliwej aktywności do oczywistego procesu malware.

Po skutecznym uruchomieniu JanelaRAT uzyskuje trwałość w systemie, między innymi przez utworzenie skrótu w folderze autostartu Windows. Następnie komunikuje się z serwerem C2 przez TCP, rejestruje zainfekowany host i rozpoczyna monitoring aktywności użytkownika.

Szczególnie istotna jest analiza tytułu aktywnego okna. Trojan porównuje go z wbudowaną listą nazw i wzorców związanych z bankami oraz usługami finansowymi. Dopiero po wykryciu zgodności przechodzi do aktywnej fazy operacyjnej, dzięki czemu ogranicza liczbę zbędnych działań i zmniejsza ryzyko szybkiego wykrycia.

• wykonuje zrzuty ekranu i eksfiltruje obrazy,
• przechwytuje naciśnięcia klawiszy,
• symuluje działania myszy i klawiatury,
• uruchamia polecenia systemowe i skrypty PowerShell,
• zbiera metadane o systemie,
• wykrywa sandboxy i narzędzia analityczne,
• identyfikuje obecność mechanizmów antyfraudowych,
• raportuje okresy bezczynności i powrotu użytkownika do aktywności.

Jedną z najbardziej niebezpiecznych funkcji pozostają pełnoekranowe nakładki i fałszywe komunikaty imitujące legalne interfejsy bankowe lub systemowe. Mechanizm ten może posłużyć do przechwytywania loginów, haseł, kodów jednorazowych oraz manipulowania decyzjami użytkownika podczas sesji bankowej.

Konsekwencje / ryzyko

JanelaRAT stanowi istotne zagrożenie dla klientów banków, firm realizujących płatności oraz samych instytucji finansowych. Z perspektywy ofiary końcowej ryzyko nie ogranicza się do utraty danych uwierzytelniających. Malware może aktywnie uczestniczyć w sesji, obserwować zachowanie użytkownika i przejąć kontrolę w kluczowym momencie operacji finansowej.

• przejęcie kont bankowych i biznesowych,
• kradzież środków finansowych,
• kompromitacja danych kart i portfeli kryptowalutowych,
• ujawnienie poufnych informacji widocznych na ekranie,
• trudniejsze wykrywanie incydentu przez systemy antyfraudowe.

Dla banków i organizacji finansowych oznacza to wzrost ryzyka oszustw typu account takeover oraz większą trudność w odróżnieniu aktywności użytkownika od działań sterowanych przez operatora malware. Kontekstowe uruchamianie funkcji trojana sprawia, że część zabezpieczeń może zobaczyć jedynie fragment zdarzeń lub błędnie uznać je za normalne zachowanie klienta.

Rekomendacje

Obrona przed JanelaRAT wymaga podejścia wielowarstwowego, obejmującego zarówno zabezpieczenia poczty, jak i monitoring procesów, autostartu oraz nietypowych zależności między legalnymi plikami wykonywalnymi i bibliotekami DLL.

• blokować lub ściśle kontrolować pliki MSI, VBS, LNK i archiwa ZIP dostarczane e-mailem,
• monitorować legalne procesy ładujące nietypowe biblioteki DLL,
• wdrożyć detekcję DLL side-loading oraz podejrzanych wpisów w autostarcie,
• analizować połączenia TCP do nieznanej infrastruktury C2,
• wykrywać uruchamianie PowerShell i cmd.exe przez procesy z nietypowych lokalizacji,
• kontrolować nieautoryzowane rozszerzenia i parametry uruchamiania przeglądarek,
• stosować EDR z rozbudowaną telemetrią procesów i aktywności użytkownika,
• regularnie szkolić pracowników z rozpoznawania phishingu podszywającego się pod dokumenty finansowe.

W środowiskach o podwyższonym ryzyku warto dodatkowo ograniczyć możliwość instalacji oprogramowania przez użytkowników, wdrożyć allowlisting aplikacji, monitorować nietypowe nakładki ekranowe oraz segmentować stanowiska wykorzystywane do operacji finansowych. Duże znaczenie ma też stosowanie metod uwierzytelniania odpornych na phishing wszędzie tam, gdzie jest to możliwe.

Podsumowanie

JanelaRAT pokazuje, jak szybko ewoluują współczesne trojany finansowe. To już nie tylko malware do kradzieży danych, ale narzędzie pozwalające prowadzić oszustwa w czasie rzeczywistym, z aktywnym udziałem operatora i przy wykorzystaniu interfejsu ofiary.

Połączenie phishingu, wieloetapowej infekcji, DLL side-loading, trwałości w systemie, monitorowania aktywnego okna i fałszywych nakładek ekranowych sprawia, że wykrywanie zagrożenia wymaga korelacji wielu sygnałów. Dla zespołów bezpieczeństwa oznacza to konieczność obserwacji nie tylko samego malware, lecz także relacji między procesami, aktywnością użytkownika i zachowaniem aplikacji finansowych.

Źródła

• The Hacker News – JanelaRAT Malware Targets Latin American Banks with 14,739 Attacks in Brazil in 2025 — https://thehackernews.com/2026/04/janelarat-malware-targets-latin.html
• Securelist – JanelaRAT: banking Trojan campaigns targeting Latin America — https://securelist.com/
• Zscaler ThreatLabz – JanelaRAT technical analysis — https://www.zscaler.com/blogs/security-research
• KPMG – Analysis of JanelaRAT infection chain and browser extension abuse — https://assets.kpmg.com/

Wprowadzenie do problemu / definicja

JanelaRAT to złośliwe oprogramowanie typu remote access trojan (RAT), które od początku było projektowane z myślą o atakach na użytkowników usług finansowych. Zagrożenie jest szczególnie aktywne w Ameryce Łacińskiej, przede wszystkim w Brazylii i Meksyku, gdzie operatorzy prowadzą kampanie wymierzone w klientów banków oraz osoby korzystające z usług finansowych i kryptowalutowych.

Charakterystyczną cechą JanelaRAT jest połączenie funkcji klasycznego trojana bankowego z możliwościami zdalnej administracji nad zainfekowanym systemem. Oznacza to, że malware nie ogranicza się do biernej kradzieży danych, lecz może aktywnie obserwować użytkownika, analizować jego działania i ingerować w przebieg sesji bankowej.

W skrócie

W 2025 roku odnotowano 14 739 prób ataku JanelaRAT w Brazylii oraz 11 695 w Meksyku, co pokazuje skalę i konsekwencję prowadzonych kampanii. Ataki rozpoczynają się najczęściej od wiadomości phishingowych podszywających się pod niezapłacone faktury lub dokumenty finansowe.

• kampanie wykorzystują archiwa ZIP i wieloetapowy łańcuch infekcji,
• obecne warianty stosują instalatory MSI jako droppery,
• do uruchamiania malware wykorzystywana jest technika DLL side-loading,
• trwałość w systemie bywa osiągana przez skróty LNK w folderze autostartu,
• malware monitoruje aktywne okna i reaguje na uruchomienie usług bankowych.

Kontekst / historia

JanelaRAT został publicznie opisany w 2023 roku jako zagrożenie powiązane z rodziną BX RAT. W pierwszych analizach wskazywano wykorzystanie archiwów ZIP zawierających skrypty Visual Basic Script, które pobierały kolejne komponenty i finalnie uruchamiały trojana z użyciem DLL side-loading.

Z czasem operatorzy zmienili sposób dostarczania ładunku. Od co najmniej maja 2024 roku zaobserwowano przesunięcie w stronę instalatorów MSI, które pełnią funkcję dropperów i inicjują kolejne etapy infekcji. W analizach pojawiały się również elementy napisane w Go, PowerShell oraz skryptach batch, co wskazuje na stopniowy rozwój zaplecza operacyjnego i zwiększanie odporności kampanii na detekcję.

Taka ewolucja pokazuje, że JanelaRAT nie jest pojedynczą, krótkotrwałą kampanią, lecz aktywnie utrzymywanym narzędziem cyberprzestępczym. Operatorzy regularnie modyfikują techniki dostarczania i uruchamiania malware, aby zwiększyć skuteczność ataków oraz utrudnić pracę systemom ochronnym.

Analiza techniczna

Łańcuch infekcji zwykle zaczyna się od phishingu. Ofiara otrzymuje wiadomość, która zachęca do kliknięcia odnośnika związanego z rzekomą fakturą, rozliczeniem lub pilnym dokumentem. Następnie pobierane jest archiwum ZIP albo inny zasób inicjujący dalsze etapy instalacji.

Po uruchomieniu pakietu rozpoczyna się wieloetapowy proces, w którym wykorzystywane są skrypty i legalne komponenty systemowe. Końcowym elementem jest często załadowanie złośliwej biblioteki DLL przez legalny plik wykonywalny. Dzięki technice DLL side-loading aktywność trojana zostaje ukryta w kontekście zaufanego procesu, co utrudnia wykrycie przez rozwiązania oparte wyłącznie na prostych sygnaturach.

Po instalacji JanelaRAT nawiązuje komunikację z serwerem C2 przez gniazdo TCP, rejestruje infekcję i rozpoczyna analizę środowiska ofiary. Jednym z kluczowych mechanizmów jest monitorowanie tytułu aktywnego okna. Jeśli nazwa otwartego okna odpowiada zapisanej w kodzie liście instytucji finansowych lub usług powiązanych z bankowością, malware może uruchomić dodatkowy kanał komunikacji i umożliwić operatorowi wykonanie zdalnych działań.

Funkcjonalnie JanelaRAT łączy cechy trojana bankowego, narzędzia do zdalnego dostępu i modułu nadzorującego zachowanie użytkownika. Do przypisywanych mu możliwości należą:

• wykonywanie i wysyłanie zrzutów ekranu,
• wycinanie fragmentów ekranu i ich eksfiltracja,
• przechwytywanie naciśnięć klawiszy,
• symulowanie działań myszy i klawiatury,
• uruchamianie poleceń przez cmd.exe i PowerShell,
• wyświetlanie fałszywych komunikatów oraz pełnoekranowych nakładek,
• zbieranie metadanych systemowych,
• wykrywanie środowisk sandbox i narzędzi analitycznych,
• rozpoznawanie systemów antyfraudowych.

Istotnym elementem działania najnowszych wariantów jest także monitorowanie aktywności użytkownika. Malware sprawdza czas od ostatniej interakcji z systemem i przekazuje operatorowi informację o okresach bezczynności. To pozwala lepiej dobrać moment przeprowadzenia zdalnych operacji, zwłaszcza tych, które wymagają mniejszego ryzyka zauważenia przez ofiarę.

W poprzednich analizach wskazywano również możliwość wykorzystania złośliwego rozszerzenia dla przeglądarek opartych na Chromium. Taki komponent może zwiększać zakres zbieranych danych o historię przeglądania, pliki cookie, informacje o kartach i listę rozszerzeń, a także wspierać manipulowanie uruchomieniem przeglądarki podczas sesji bankowej.

Konsekwencje / ryzyko

JanelaRAT stanowi poważne zagrożenie zarówno dla klientów banków, jak i dla samych instytucji finansowych. Ryzyko nie kończy się na kradzieży loginów i haseł. Malware potrafi aktywnie ingerować w sesję użytkownika, wyświetlać fałszywe komunikaty oraz wykonywać działania sterowane zdalnie, co znacząco zwiększa skuteczność oszustw finansowych.

Najpoważniejsze konsekwencje obejmują przejęcie poświadczeń, kradzież danych bankowych i kryptowalutowych, manipulację interfejsem użytkownika oraz prowadzenie oszustw w czasie rzeczywistym. Zdolność do wykrywania narzędzi antyfraudowych sugeruje ponadto, że operatorzy starają się adaptacyjnie omijać istniejące mechanizmy obronne.

Z perspektywy organizacji szczególnie niebezpieczne jest połączenie phishingu, legalnych plików binarnych, skryptów wieloetapowych i mechanizmów trwałości. Taki model działania utrudnia detekcję, jeśli monitoring ogranicza się wyłącznie do pojedynczych wskaźników kompromitacji.

Rekomendacje

Ograniczenie ryzyka związanego z JanelaRAT wymaga podejścia wielowarstwowego. Ochrona powinna obejmować zarówno pocztę elektroniczną, jak i endpointy, przeglądarki, ruch sieciowy oraz analizę zachowań użytkownika.

• wzmacniać ochronę poczty przed phishingiem i analizować podejrzane załączniki oraz odnośniki,
• stosować sandboxing dla wiadomości związanych z fakturami i dokumentami finansowymi,
• monitorować uruchamianie instalatorów MSI z nietypowych lokalizacji,
• wykrywać przypadki DLL side-loading i ładowania nieoczekiwanych bibliotek,
• analizować tworzenie skrótów LNK w folderach autostartu Windows,
• kontrolować nietypowe sekwencje uruchamiania PowerShell, cmd.exe i skryptów batch,
• rejestrować manipulacje parametrami startowymi przeglądarek i ładowanie niestandardowych rozszerzeń,
• budować reguły behawioralne łączące phishing, pobranie ZIP, uruchomienie legalnego EXE i załadowanie złośliwej DLL,
• monitorować procesy wykonujące zrzuty ekranu, symulujące wejście użytkownika i komunikujące się z C2,
• szkolić użytkowników końcowych w rozpoznawaniu prób phishingu.

Dla zespołów SOC i threat huntingu szczególnie wartościowe będzie wykrywanie procesów reagujących na tytuły aktywnych okien, obserwacja anomalii w interfejsie użytkownika oraz identyfikacja wzorców wskazujących na przejęcie sesji bankowej lub użycie ekranowych nakładek.

Podsumowanie

JanelaRAT to rozwijające się zagrożenie bankowe, które skutecznie łączy phishing, techniki living-off-the-land, DLL side-loading oraz aktywne przejmowanie interakcji użytkownika. Skala kampanii w Brazylii i Meksyku pokazuje, że operatorzy dysponują dojrzałym zapleczem technicznym i dobrze rozumieją specyfikę lokalnych celów.

Najgroźniejszym elementem tego malware nie jest wyłącznie kradzież danych, lecz zdolność do obserwowania ofiary, wykrywania momentów aktywności i zdalnego wpływania na legalną sesję finansową. Obrona przed takim zagrożeniem wymaga korelacji telemetryki z wielu warstw oraz połączenia klasycznych zabezpieczeń z analizą behawioralną.

Źródła

1. The Hacker News — https://thehackernews.com/2026/04/janelarat-malware-targets-latin.html
2. Kaspersky Securelist — https://securelist.com/janelarat-banking-trojan-targeting-latin-america/116806/
3. Zscaler ThreatLabz — https://www.zscaler.com/blogs/security-research/janelarat-brazilian-banking-trojan
4. KPMG — https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2025/07/janelarat-analysis.pdf