Expertos de Kaspersky alertan sobre la evolución de JanelaRAT, una amenaza que ahora combina robo de credenciales con la capacidad de interceptar y manipular operaciones bancarias en tiempo real.

Investigadores de Kaspersky GReAT detectaron y analizaron una nueva versión de JanelaRAT, que se hacía pasar por una aplicación legítima de pixel art. En línea con intrusiones y campañas previas, los principales objetivos de los actores detrás de esta amenaza son usuarios bancarios en América Latina, con especial enfoque en clientes de instituciones financieras en Brasil y México.

Con esta nueva versión del malware, los atacantes manipulan al usuario para que interactúe con una pantalla superpuesta personalizada sobre la interfaz real de banca en línea, lo que les permite iniciar el secuestro de la sesión bancaria. Según la telemetría de Kaspersky, en 2025 se registraron 14.739 ataques en Brasil y 11.695 en México relacionados con JanelaRAT.

JanelaRAT es un troyano de acceso remoto (RAT), una variante fuertemente modificada del antiguo BX RAT de 2014, que apunta principalmente a usuarios en América Latina, especialmente en sectores bancarios, fintech y de criptomonedas. El malware utiliza una cadena de infección de múltiples etapas que comienza con correos de phishing que contienen scripts maliciosos en VBS dentro de archivos comprimidos, los cuales son abiertos por los usuarios.

En esta nueva versión (versión 33), Kaspersky ha observado variaciones en las cadenas de infección dependiendo de la variante distribuida. La campaña más reciente emplea la técnica de DLL sideloading. La DLL cargada es, en realidad, JanelaRAT, entregado como carga final. Este monitorea la actividad de la víctima, intercepta interacciones bancarias sensibles y establece un canal interactivo para reportar información a los atacantes. Además, rastrea la presencia y rutina del usuario para determinar el mejor momento para ejecutar operaciones remotas.

Sistema de superposición engañosa (decoy overlay)

La nueva versión de JanelaRAT implementa una táctica interactiva diseñada para capturar credenciales bancarias y evadir la autenticación multifactor. Cuando detecta una ventana bancaria, el malware despliega una pantalla completa con una imagen enviada por los atacantes que imita interfaces legítimas de bancos o del sistema.

Luego, bloquea la interacción de la víctima mediante cuadros de diálogo controlados por los atacantes. Las acciones dentro de estos cuadros corresponden a operaciones específicas, como la captura de contraseñas o de tokens de autenticación (MFA), entre otras. Entre los engaños utilizados se incluyen pantallas falsas de carga, simulaciones de actualizaciones de Windows en pantalla completa y otros elementos similares.

Además, el malware ajusta el tamaño de la superposición, analiza múltiples pantallas y carga elementos engañosos para distraer al usuario o incluso ocultar temporalmente ventanas legítimas de aplicaciones.

Ejemplos de cuadros de diálogo de MS Windows mostrados por los atacantes a la víctima: captura de contraseñas, captura de tokens/MFA, pantalla de carga falsa.

“JanelaRAT sigue siendo una amenaza activa y en evolución, con intrusiones que mantienen características consistentes pese a las modificaciones continuas. Hemos seguido su evolución durante algún tiempo, observando variaciones tanto en el malware como en su cadena de infección, incluyendo variantes específicas por país. Esta nueva versión representa un avance significativo en las capacidades de los atacantes, al combinar múltiples canales de comunicación, monitoreo completo de la víctima, superposiciones interactivas, inyección de entradas y funciones robustas de control remoto. Además, está diseñado para minimizar su visibilidad y adaptar su comportamiento ante la detección de software antifraude”, comenta Maria Isabel Manjarrez, Investigadora de Seguridad para América Latina en el Equipo Global de Investigación y Análisis de Kaspersky.

Para mantenerse protegido frente a este tipo de amenazas, Kaspersky recomienda:

• Ser cauteloso al abrir o descargar archivos recibidos por mensajería o correo electrónico, ya que pueden contener malware.
• Utilizar una solución de seguridad sólida en todos los dispositivos, como Kaspersky Premium, que puede detectar y bloquear amenazas.
• Activar la opción de “mostrar extensiones de archivo” en Windows para identificar archivos potencialmente maliciosos. Extensiones como “.exe”, “.vbs” o “.scr” pueden ser señales de alerta.
• Prestar atención a notificaciones por correo electrónico, ya que los ciberdelincuentes suelen suplantar tiendas en línea o bancos para inducir a hacer clic en enlaces maliciosos.

Origen

Kaspersky detectó herramientas capaces de monitorear la actividad de los usuarios, robar credenciales y extraer información estratégica sin generar alertas visibles.

La compañía reveló el descubrimiento de nuevas campañas de ciberespionaje vinculadas al grupo avanzado de amenazas persistentes (APT) conocido como HoneyMyte, que ha perfeccionado sus herramientas para vigilar, robar información y operar de forma casi invisible dentro de redes corporativas, especialmente en entidades gubernamentales y organizaciones estratégicas.

De acuerdo con investigadores del Equipo Global de Investigación y Análisis de Kaspersky (GReAT), el grupo fortaleció su principal herramienta maliciosa, conocida como CoolClient, incorporándole nuevas capacidades que permiten observar con mayor detalle la actividad de los usuarios dentro de los sistemas comprometidos. Entre las mejoras más relevantes se incluyen capacidades de monitoreo del portapapeles y seguimiento de las aplicaciones en uso. Estas funciones permiten recopilar información clave, como los títulos de las ventanas activas, los procesos asociados y la fecha y hora, lo que posibilita reconstruir con precisión la actividad del usuario y el contexto en el que maneja información sensible en su equipo.

Además, los expertos detectaron que CoolClient ahora puede robar credenciales de proxies de red, un tipo de información crítica que suele utilizarse para controlar el acceso a internet en empresas y organismos. Esta técnica, nunca antes observada en el malware de HoneyMyte, amplía significativamente la capacidad del grupo para moverse dentro de redes corporativas sin ser detectado.

Las investigaciones también muestran que CoolClient suele instalarse como backdoor, acompañando a otras variantes de malware conocidos como PlugX y LuminousMoth. Para ejecutar sus ataques, el grupo aprovecha un método que utiliza archivos legítimos y firmados digitalmente, lo que dificulta que las soluciones de seguridad tradicionales detecten la amenaza.

Entre 2021 y 2025, HoneyMyte abusó de programas auténticos de distintos fabricantes, y en las campañas más recientes utilizó una aplicación firmada de un proveedor de software empresarial.

En paralelo, los atacantes emplearon scripts automatizados para recopilar información del sistema, extraer documentos internos y robar credenciales almacenadas en navegadores web. Durante la fase posterior al ataque, también se identificó una nueva versión de malware diseñada específicamente para robar contraseñas de Google Chrome, con similitudes técnicas a herramientas usadas en campañas previas de espionaje.

Este tipo de ataques representa un riesgo significativo para las organizaciones porque no busca causar un daño inmediato o visible, sino permanecer oculto durante largos periodos, observando el comportamiento de empleados, recolectando información estratégica y extrayendo datos de forma gradual. Al usar herramientas legítimas y técnicas silenciosas, los atacantes pueden evadir controles básicos de seguridad y operar desde dentro como si fueran usuarios autorizados.

“Lo más preocupante de estas campañas no es solo lo técnico, sino también el cambio de enfoque en la forma de espiar. Estamos viendo ataques diseñados para observar silenciosamente cómo trabajan las personas dentro de una organización: qué aplicaciones usan, qué información copian, qué credenciales manejan y cómo se mueven dentro de la red. Esto convierte a los empleados y a sus hábitos digitales en una fuente constante de inteligencia para los atacantes. Para las empresas, el riesgo ya no se limita a una filtración puntual, sino a la pérdida progresiva de información estratégica, credenciales y contexto operativo, muchas veces sin señales evidentes de intrusión”, asegura Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

Para mantenerse protegidas frente a HoneyMyte y otros APT, se recomienda a las organizaciones seguir estas buenas prácticas:

• Mantener una vigilancia constante frente a señales de espionaje digital, como comportamientos inusuales en los equipos, accesos inesperados a información sensible, uso de programas legítimos fuera de lo normal o movimientos de datos que no corresponden a las tareas habituales de los empleados, ya que estos ataques buscan operar de forma silenciosa durante largos periodos.
• Verificar qué programas y archivos están autorizados para ejecutarse en la organización, ya que muchos ataques avanzados ingresan usando software aparentemente legítimo que no debería estar activo en los equipos o servidores.
• Implementar soluciones de la línea Kaspersky Next, que permiten detectar actividades anómalas en tiempo real, entender qué está ocurriendo dentro de la red y responder rápidamente antes de que la información crítica sea comprometida.
• Apoyarse en servicios de seguridad gestionada como Managed Detection and Response (MDR) o Incident Response, que ayudan a investigar ataques complejos, contenerlos a tiempo y aportar experiencia especializada cuando la organización no cuenta con equipos de ciberseguridad suficientes.
• Fortalecer la toma de decisiones con Inteligencia de Amenazas, que ofrece contexto claro sobre las amenazas activas y permite anticiparse a riesgos antes de que se conviertan en incidentes graves.

Si deseas conocer el informe completo sobre HoneyMyte, puedes encontrarlo en Securelist.

Origen