{"id":538,"date":"2026-04-13T20:57:44","date_gmt":"2026-04-13T20:57:44","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/13\/el-malware-janelarat-apunta-a-bancos-latinoamericanos-con-14-739-ataques-en-brasil-en-2025-cyberdefensa-mx\/"},"modified":"2026-04-13T20:57:44","modified_gmt":"2026-04-13T20:57:44","slug":"el-malware-janelarat-apunta-a-bancos-latinoamericanos-con-14-739-ataques-en-brasil-en-2025-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/13\/el-malware-janelarat-apunta-a-bancos-latinoamericanos-con-14-739-ataques-en-brasil-en-2025-cyberdefensa-mx\/","title":{"rendered":"El malware JanelaRAT apunta a bancos latinoamericanos con 14.739 ataques en Brasil en 2025 \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los bancos e instituciones financieras de pa\u00edses latinoamericanos como Brasil y M\u00e9xico han seguido siendo el objetivo de una familia de malware llamada JanelaRAT<\/strong>.<\/p>\n

JanelaRAT, una versi\u00f3n modificada de BX RAT, es conocida por robar datos financieros y de criptomonedas asociados con entidades financieras espec\u00edficas, as\u00ed como por rastrear entradas del mouse, registrar pulsaciones de teclas, tomar capturas de pantalla y recopilar metadatos del sistema.<\/p>\n

\u00abUna de las diferencias clave entre estos troyanos es que JanelaRAT utiliza un mecanismo de detecci\u00f3n de barra de t\u00edtulo personalizado para identificar los sitios web deseados en los navegadores de las v\u00edctimas y realizar acciones maliciosas\u00bb, Kaspersky dicho<\/a> en un informe publicado hoy. \u00abLos actores de amenazas detr\u00e1s de las campa\u00f1as de JanelaRAT actualizan continuamente la cadena de infecci\u00f3n y las versiones del malware agregando nuevas funciones\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Los datos de telemetr\u00eda recopilados por el proveedor ruso de ciberseguridad muestran que se registraron hasta 14.739 ataques en Brasil en 2025 y 11.695 en M\u00e9xico. Actualmente no se sabe cu\u00e1ntos de ellos resultaron en un compromiso exitoso.<\/p>\n

Detectado por primera vez en la naturaleza por Zscaler en junio de 2023, JanelaRAT aprovech\u00f3 archivos ZIP que contienen un script Visual Basic (VBScript) para descargar un segundo archivo ZIP, que, a su vez, viene con un ejecutable leg\u00edtimo y una carga \u00fatil DLL. La etapa final emplea la t\u00e9cnica de carga lateral de DLL para iniciar el troyano.<\/p>\n

En un an\u00e1lisis posterior publicado en julio de 2025, KPMG dijo que el malware se distribuye a trav\u00e9s de archivos de instalaci\u00f3n MSI falsos que se hacen pasar por software leg\u00edtimo alojado en plataformas confiables como GitLab. Los ataques relacionados con el malware se han centrado principalmente en Chile, Colombia y M\u00e9xico.<\/p>\n

\u00abTras la ejecuci\u00f3n, el instalador inicia un proceso de infecci\u00f3n de varias etapas utilizando scripts de orquestaci\u00f3n escritos en Go, PowerShell y por lotes\u00bb, KPMG anotado<\/a> En el momento. \u00abEstos scripts descomprimen un archivo ZIP que contiene el ejecutable RAT, una extensi\u00f3n de navegador maliciosa basada en Chromium y componentes de soporte\u00bb.<\/p>\n

Los scripts tambi\u00e9n est\u00e1n dise\u00f1ados para identificar los navegadores basados \u200b\u200ben Chromium instalados y modificar sigilosamente sus par\u00e1metros de inicio (como el interruptor de l\u00ednea de comando \u00ab\u2013load-extension\u00bb) para instalar la extensi\u00f3n. Luego, el complemento del navegador procede a recopilar informaci\u00f3n del sistema, cookies, historial de navegaci\u00f3n, extensiones instaladas y metadatos de pesta\u00f1as, adem\u00e1s de activar acciones espec\u00edficas basadas en coincidencias de patrones de URL.<\/p>\n

La \u00faltima cadena de ataque documentada por Kaspersky muestra que los correos electr\u00f3nicos de phishing disfrazados de facturas pendientes se utilizan para enga\u00f1ar a los destinatarios para que descarguen un archivo PDF haciendo clic en un enlace, lo que resulta en la descarga de un archivo ZIP que inicia la cadena de ataque antes mencionada que involucra la carga lateral de DLL para instalar JanelaRAT.<\/p>\n

Al menos desde mayo de 2024, las campa\u00f1as de JanelaRAT han pasado de los scripts de Visual Basic a los instaladores MSI, que act\u00faan como un gotero para el malware mediante la carga lateral de DLL y establecen persistencia en el host mediante la creaci\u00f3n de un acceso directo de Windows (LNK) en la carpeta de Inicio que apunta al ejecutable.<\/p>\n

Tras su ejecuci\u00f3n, el malware establece comunicaciones con un servidor de comando y control (C2) a trav\u00e9s de un socket TCP para registrar una infecci\u00f3n exitosa y controla la actividad de la v\u00edctima para interceptar interacciones bancarias confidenciales. <\/p>\n

El objetivo principal de JanelaRAT es obtener el t\u00edtulo de la ventana activa y compararlo con una lista codificada de instituciones financieras. Si hay una coincidencia, el malware espera 12 segundos antes de abrir un canal C2 dedicado y ejecutar las tareas maliciosas recibidas del servidor. Algunos de los comandos admitidos incluyen:<\/p>\n