Investigadores de Kaspersky han identificado una nueva variante de malware, JanelaRAT, que intercepta credenciales bancarias al desplegar capas fraudulentas sobre interfaces financieras legítimas. El malware monitorea la actividad del usuario para detectar cuándo la víctima abre una ventana bancaria, momento en el que lanza una pantalla engañosa para capturar contraseñas y códigos de autenticación.
El software funciona imitando la apariencia de un entorno bancario legítimo. Esto permite a los atacantes recolectar datos sensibles sin que el usuario note que su sesión ha sido comprometida.
“Esta nueva versión representa un avance significativo en las capacidades de los atacantes, al combinar múltiples canales de comunicación, un monitoreo completo de la víctima, superposiciones interactivas, inyección de datos y funciones robustas de control remoto”, afirmó Isabel Manjarrez, investigadora de seguridad para Latinoamérica en Kaspersky.
Manjarrez señaló que el malware está diseñado específicamente para minimizar su visibilidad, siendo capaz de adaptar su comportamiento para evadir la detección de los programas antifraude.
Cómo identificar señales de un ataque
Los usuarios pueden identificar posibles ataques prestando atención a irregularidades específicas durante sus sesiones en línea. Kaspersky advierte que una pantalla de carga inusualmente lenta puede ser un indicador principal de actividad maliciante.
Otras señales de alerta incluyen ventanas que simulan actualizaciones de Windows o ventanas emergentes inesperadas. Los usuarios deben desconfiar si un sitio solicita una contraseña o un token de seguridad de una manera que se desvíe de los procedimientos estándar de su banco.
JanelaRAT está diseñado para manipular la percepción del usuario. Bloquea las interacciones normales y espera el momento de mayor vulnerabilidad para solicitar información crítica.
Esta amenaza sigue un patrón similar al observado en la campaña Horabot, reportada por Kaspersky en marzo. Durante aquel incidente, los investigadores descubrieron una base de datos expuesta con 5.384 víctimas.
Los datos de aquella investigación revelaron que el 93% de las víctimas estaban registradas en México. La campaña Horabot utilizaba verificaciones de CAPTCHA falsas para engañar a los usuarios y lograr que ejecutaran comandos maliciosos en sus equipos.
Tras la infección inicial, la campaña empleaba interfaces falsas para imitar servicios conocidos y extraer credenciales bancarias mediante el mismo tipo de superposición engañosa que utiliza JanelaRAT.
