14.04.2026
1 хв
146
Банки та фінансові установи в Латинській Америці опинилися під новою хвилею атак з боку шкідливого ПЗ JanelaRAT, яке активно використовується для крадіжки фінансових даних і стеження за жертвами. У 2025 році лише в Бразилії зафіксовано понад 14 700 атак.
Фінансові компанії в Латинській Америці знову під атакою. Банки в Бразилії, Мексиці та інших країнах продовжують ловити хвилю заражень через шкідник JanelaRAT, який уже давно спеціалізується саме на грошах і доступах до акаунтів.
Це не новий вірус, а перероблена версія BX RAT. Але зараз він став значно агресивнішим. JanelaRAT не просто краде логіни чи паролі. Він буквально «сидить» у системі та дивиться, що робить користувач. Фіксує рухи миші, записує клавіатуру, робить скріншоти і паралельно збирає службову інформацію про систему. Особливо його цікавлять банківські та криптосервіси.
Як пояснюють дослідники, у цього трояна є цікава фішка. Він не просто чекає дій жертви, а перевіряє, який сайт зараз відкритий.
«Одна з ключових відмінностей між цими троянами полягає в тому, що JanelaRAT використовує спеціальний механізм виявлення рядка заголовка для ідентифікації потрібних веб-сайтів у браузерах жертв та виконання шкідливих дій».
Тобто якщо користувач відкриває щось фінансове, троян одразу “прокидається” і починає працювати. При цьому самі кампанії постійно змінюються – зловмисники регулярно допилюють і код, і способи доставки.
За цифрами ситуація виглядає серйозно. У 2025 році тільки в Бразилії зафіксували 14 739 атак, у Мексиці ще 11 695. І це лише те, що вдалося побачити. Скільки з них реально закінчились зламами, ніхто точно не знає.
Раніше схема була досить проста. Користувачу підсовували ZIP із VBScript, який тягнув наступний файл разом із DLL. У кінці троян запускався через DLL side-loading, щоб виглядати як легітимний процес.
Але зараз усе трохи складніше. У нових кампаніях використовують MSI-інсталятори. Вони виглядають як звичайні програми і навіть лежать на нормальних сервісах, типу GitLab. Через це користувачі менше підозрюють підвох.
Після запуску починається цілий ланцюжок. Скрипти на Go, PowerShell і batch розпаковують архів і підтягують усі потрібні компоненти. Там і сам троян, і додаткові файли, і навіть окреме браузерне розширення – зазначила тоді KPMG.
Далі йде ще цікавіше. Система перевіряє браузери і тихо підключає до них це розширення. Воно вже збирає все підряд: cookies, історію, вкладки, плагіни. Плюс реагує на те, які сайти відкриває користувач.
Зараження зазвичай починається банально. Людині приходить лист «про рахунок». Вона клікає, качає PDF – а по факту запускає ZIP із повною інфекцією.
З середини 2024 року зловмисники майже повністю перейшли на MSI. Вони працюють як дроппери і ще й закріплюються в системі через автозапуск Windows.
Після цього троян підключається до сервера і починає стежити. Його головна задача – дочекатися, коли жертва зайде в банк або фінансовий сервіс. Він перевіряє назву вікна, і якщо все сходиться, через кілька секунд активує потрібні дії.
Функціонал у нього, м’яко кажучи, широкий. Він може:
робити скріншоти
вирізати частини екрану
показувати фейкові «вікна оновлення» або банківські форми
записувати клавіші
рухати курсор і імітувати кліки
запускати команди через PowerShell
приховувати свою роботу
перевіряти, чи є антифрод
Є ще одна деталь. Шкідник дивиться, чи користується людина комп’ютером. Якщо більше 10 хвилин тиші – він повідомляє про це сервер. Як тільки користувач повертається, надсилає новий сигнал. Тобто зловмисники буквально бачать, коли можна діяти спокійно.
У нових версіях JanelaRAT став ще більш гнучким. Він використовує різні канали зв’язку, краще ховається і навіть підлаштовується під захисні системи, якщо їх знаходить.
По факту це вже не просто троян, а повноцінний інструмент контролю над системою. І зараз він активно працює саме проти фінансового сектору.
