Los bancos e instituciones financieras de países latinoamericanos como Brasil y México han seguido siendo el objetivo de una familia de malware llamada JanelaRAT.

JanelaRAT, una versión modificada de BX RAT, es conocida por robar datos financieros y de criptomonedas asociados con entidades financieras específicas, así como por rastrear entradas del mouse, registrar pulsaciones de teclas, tomar capturas de pantalla y recopilar metadatos del sistema.

«Una de las diferencias clave entre estos troyanos es que JanelaRAT utiliza un mecanismo de detección de barra de título personalizado para identificar los sitios web deseados en los navegadores de las víctimas y realizar acciones maliciosas», Kaspersky dicho en un informe publicado hoy. «Los actores de amenazas detrás de las campañas de JanelaRAT actualizan continuamente la cadena de infección y las versiones del malware agregando nuevas funciones».

Los datos de telemetría recopilados por el proveedor ruso de ciberseguridad muestran que se registraron hasta 14.739 ataques en Brasil en 2025 y 11.695 en México. Actualmente no se sabe cuántos de ellos resultaron en un compromiso exitoso.

Detectado por primera vez en la naturaleza por Zscaler en junio de 2023, JanelaRAT aprovechó archivos ZIP que contienen un script Visual Basic (VBScript) para descargar un segundo archivo ZIP, que, a su vez, viene con un ejecutable legítimo y una carga útil DLL. La etapa final emplea la técnica de carga lateral de DLL para iniciar el troyano.

En un análisis posterior publicado en julio de 2025, KPMG dijo que el malware se distribuye a través de archivos de instalación MSI falsos que se hacen pasar por software legítimo alojado en plataformas confiables como GitLab. Los ataques relacionados con el malware se han centrado principalmente en Chile, Colombia y México.

«Tras la ejecución, el instalador inicia un proceso de infección de varias etapas utilizando scripts de orquestación escritos en Go, PowerShell y por lotes», KPMG anotado En el momento. «Estos scripts descomprimen un archivo ZIP que contiene el ejecutable RAT, una extensión de navegador maliciosa basada en Chromium y componentes de soporte».

Los scripts también están diseñados para identificar los navegadores basados ​​en Chromium instalados y modificar sigilosamente sus parámetros de inicio (como el interruptor de línea de comando «–load-extension») para instalar la extensión. Luego, el complemento del navegador procede a recopilar información del sistema, cookies, historial de navegación, extensiones instaladas y metadatos de pestañas, además de activar acciones específicas basadas en coincidencias de patrones de URL.

La última cadena de ataque documentada por Kaspersky muestra que los correos electrónicos de phishing disfrazados de facturas pendientes se utilizan para engañar a los destinatarios para que descarguen un archivo PDF haciendo clic en un enlace, lo que resulta en la descarga de un archivo ZIP que inicia la cadena de ataque antes mencionada que involucra la carga lateral de DLL para instalar JanelaRAT.

Al menos desde mayo de 2024, las campañas de JanelaRAT han pasado de los scripts de Visual Basic a los instaladores MSI, que actúan como un gotero para el malware mediante la carga lateral de DLL y establecen persistencia en el host mediante la creación de un acceso directo de Windows (LNK) en la carpeta de Inicio que apunta al ejecutable.

Tras su ejecución, el malware establece comunicaciones con un servidor de comando y control (C2) a través de un socket TCP para registrar una infección exitosa y controla la actividad de la víctima para interceptar interacciones bancarias confidenciales.

El objetivo principal de JanelaRAT es obtener el título de la ventana activa y compararlo con una lista codificada de instituciones financieras. Si hay una coincidencia, el malware espera 12 segundos antes de abrir un canal C2 dedicado y ejecutar las tareas maliciosas recibidas del servidor. Algunos de los comandos admitidos incluyen:

• Envío de capturas de pantalla al servidor C2
• Recortar regiones específicas de la pantalla y extraer imágenes
• Mostrar imágenes en modo de pantalla completa (por ejemplo, «Configurando actualizaciones de Windows, espere») y hacerse pasar por cuadros de diálogo con temas bancarios mediante superposiciones falsas para recopilar credenciales
• Capturando pulsaciones de teclas
• Simular acciones del teclado como ABAJO, ARRIBA y TAB para navegación
• Mover el cursor y simular clics
• Ejecutar un apagado forzado del sistema
• Ejecutar comandos usando «cmd.exe» y comandos o scripts de PowerShell
• Manipular el Administrador de tareas de Windows para ocultar su ventana para que no sea detectada
• Señalar la presencia de sistemas antifraude
• Envío de metadatos del sistema
• Detección de sandbox y herramientas de automatización

«El malware determina si la máquina de la víctima ha estado inactiva durante más de 10 minutos calculando el tiempo transcurrido desde la última entrada del usuario», dijo Kaspersky. «Si el período de inactividad supera los 10 minutos, el malware notifica al C2 enviando el mensaje correspondiente. Tras la actividad del usuario, notifica nuevamente al actor de la amenaza. Esto hace posible rastrear la presencia y la rutina del usuario para cronometrar posibles operaciones remotas».

«Esta variante representa un avance significativo en las capacidades del actor, combinando múltiples canales de comunicación, monitoreo integral de víctimas, superposiciones interactivas, inyección de entrada y funciones robustas de control remoto. El malware está diseñado específicamente para minimizar la visibilidad del usuario y adaptar su comportamiento al detectar software antifraude».

meta el jueves dicho está tomando acciones legales para abordar las estafas en sus plataformas mediante la presentación de demandas contra lo que llama anunciantes engañosos con sede en Brasil, China y Vietnam.

Como parte del esfuerzo, se suspendieron los métodos de pago de los anunciantes, se deshabilitaron las cuentas relacionadas y se bloquearon los nombres de dominio de los sitios web utilizados para realizar las estafas.

Al mismo tiempo, el gigante de las redes sociales dijo que también emitió cartas de cese y desistimiento a ocho consultores de marketing que anunciaron la capacidad de eludir sus sistemas de aplicación de políticas publicitarias. Esto incluía servicios falsos de «desbanificación» o restauración de cuentas y alquiler de acceso a cuentas confiables para ayudar a los clientes a eludir sus controles.

Se descubrió que al menos tres anunciantes, dos de Brasil y uno de China, participaban en estafas con cebos para celebridades, que a menudo implican el uso indebido de la imagen de figuras conocidas para engañar a las personas para que hagan clic en anuncios falsos que conducen a sitios fraudulentos. Estos sitios web están diseñados para recopilar datos confidenciales o engañar a usuarios desprevenidos para que envíen dinero o inviertan en plataformas falsas.

Los tres anunciantes contra los que Meta ha presentado demandas se enumeran a continuación:

• Vitor Lourenço de Souza y Milena Luciani Sánchez, residentes en Brasil, están siendo demandados por utilizar imágenes y voces alteradas de celebridades para promover productos sanitarios fraudulentos.
• B&B Suplementos e Cosméticos Ltda., con sede en Brasil. (Brites Corp), Brites Academia de Treinamento Ltda., Daniel de Brites Macieira Cordeiro y José Victor de Brites Chaves de Araújo por ser parte de una operación fraudulenta que aprovechó imágenes sintéticas de un médico destacado para publicitar productos de atención médica sin aprobación regulatoria y vendió cursos que enseñaban las mismas tácticas.
• Shenzhen Yunzheng Technology Co., Ltd, con sede en China, por utilizar anuncios de cebo para celebridades dirigidos a personas en varios países, incluidos Estados Unidos y Japón, como parte de un plan de fraude diseñado para atraerlos a unirse a grupos de inversión.

«Para luchar contra las estafas de cebo de celebridades, desarrollamos protecciones para celebridades cuyas imágenes se utilizan repetidamente en estos esquemas», dijo Meta. «Este programa protege actualmente las imágenes de más de 500.000 celebridades y figuras públicas de todo el mundo».

Además, la empresa señaló que demandó al anunciante con sede en Vietnam Lý Văn Lâm por utilizar técnicas de encubrimiento para eludir su proceso de revisión. El encubrimiento se refiere a una técnica adversa que tiene como objetivo ocultar la verdadera naturaleza de un sitio web vinculado a un anuncio en un intento de engañar a los sistemas de revisión de anuncios al ofrecer una versión de su contenido durante la revisión y mostrar un contenido malicioso completamente diferente a los usuarios reales.

En este caso, se dice que el anunciante utilizó anuncios fraudulentos para ofrecer artículos con descuento de marcas conocidas a cambio de completar una encuesta. Las personas que interactuaron con estos anuncios fueron dirigidas a sitios web falsos donde se les pidió que ingresaran la información de su tarjeta de crédito para comprar artículos que nunca fueron entregados. Sus tarjetas de crédito también incurrieron en tarifas recurrentes no autorizadas, una práctica conocida como fraude de suscripción.

El desarrollo se produce meses después de una investigación de Reuters. descubrió que el 19% de los 18 mil millones de dólares en ventas de publicidad de Meta en China en 2024 provinieron de anuncios de estafas, juegos de azar ilegales, pornografía y otros contenidos prohibidos. El informe también descubrió agencias que permiten a las empresas publicar anuncios prohibidos, lo que llevó a la empresa a revisar su programa Badged Partners.

En un análisis de 14,5 millones de anuncios publicados en plataformas Meta en toda la UE y el Reino Unido durante un período de 23 días, Gen Digital descubrió que casi uno de cada tres de esos anuncios (alrededor del 30,99%) apuntaba a un enlace de estafa, phishing o malware.

«En total, los anuncios fraudulentos generaron más de 300 millones de impresiones en menos de un mes», afirma la empresa de ciberseguridad. dicho a principios de este mes. «La actividad estaba altamente concentrada, con solo 10 anunciantes responsables de más del 56% de todos los anuncios fraudulentos observados. Se rastrearon grupos de campañas repetidas hasta pagos compartidos e infraestructura vinculada a China y Hong Kong, lo que indica operaciones organizadas a escala industrial en lugar de malos actores aislados».

Estos hallazgos también coinciden con el descubrimiento de infraestructura maliciosa y servicios clandestinos que se han utilizado para vender diversos tipos de estafas.

• Se han descubierto estafas combinar publicidad maliciosa y matanza de cerdos modelos de fraude para defraudar a las víctimas, principalmente a aquellas en Japón, engañándolas para que hagan clic en anuncios con temas de inversión en las redes sociales. Estos anuncios redirigen a las víctimas a sitios web que les piden que interactúen con un supuesto experto a través de aplicaciones de mensajería escaneando un código QR.
• Una vez que las víctimas se agregan a chats individuales y grupales con estos supuestos expertos, que en algunos casos no son más que chatbots impulsados ​​por inteligencia artificial (IA), se les persuade a invertir cantidades progresivamente mayores de dinero, solo para exigir una «tarifa de liberación» para desbloquear ganancias inexistentes. Se han descubierto más de 23.000 dominios dentro de este ecosistema.
• Los actores de amenazas son comprometiendo enrutadores para alterar la configuración de DNS para usar solucionadores de sombra alojados en Aeza International, una empresa de alojamiento a prueba de balas (BPH) sancionada por el gobierno de EE. UU. en julio de 2025. Esta modificación no autorizada está diseñada para alterar selectivamente las respuestas de DNS asociadas con Okta y Shopify, lo que permite a los operadores dirigir a los usuarios a contenido fraudulento y de malware mediante un sistema de distribución de tráfico (TDS) basado en HTTP.
• Se ha creado una red maliciosa de notificaciones push. observado utilizar una red de dominios maliciosos para atacar a los usuarios de Android Chrome en todo el mundo con un flujo constante de notificaciones automáticas no deseadas (por ejemplo, «¡Android infectado con malware!» o «El sistema necesita un escaneo») después de obtener permisos en un intento de dirigir a sitios fraudulentos y contenido para adultos. Según datos de Infoblox, Bangladesh, India, Indonesia y Pakistán representaron el 50% de todo el tráfico.
• Se ha identificado una red de más de 150 sitios web falsos clonados que se hacen pasar por bufetes de abogados reales con sede en EE. UU. y el Reino Unido y se dirigen a usuarios que buscan asesoramiento y representación legal para promover una estafa de suplantación de empresas.
• «Los sitios utilizaron el nombre de la firma, la marca y las identidades de abogados disponibles públicamente, presentándose como servicios legales y de recuperación de activos legítimos, ofreciendo ayudar a las víctimas a recuperar los fondos perdidos en fraudes anteriores», Sygnia dicho. «La campaña se dirigió a personas que ya habían sufrido fraude financiero».

El proliferación de estafasimpulsada por una floreciente economía de matanza de cerdos como servicio (PBaaS), no ha escapado a la atención de las autoridades, como lo demuestra el desmantelamiento de compuestos de estafa en Sudeste Asiático en últimos meses.

A principios de este mes, el gobierno camboyano prometido para tomar medidas enérgicas y desmantelar las redes de estafa cibernética que operan dentro de sus fronteras, y agregó que los funcionarios de policía lanzaron 48 operaciones en los primeros nueve meses de 2025 para combatir el fraude cibernético, arrestaron a 168 personas y deportaron a 2.722 personas de regreso a sus países de origen.

Los esfuerzos en curso han reducido la actividad fraudulenta a la mitad desde principios de este año, afirmó el Ministro Principal Chhay Sinarith, presidente de la Secretaría de la Comisión para la Lucha contra los Delitos Tecnológicos. citado como decía esta semana. El primer ministro camboyano, Hun Manet, también admitido que los centros de estafas en línea que operan en el país están dañando la reputación del país y socavando su economía.