Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Новый компьютерный вирус крадёт данные банковских карт под видом системных обновлений

leer en español

JanelaRAT GReAT Kaspersky банковский троян Латинская Америка кибератаки вредоносное ПО
Новый компьютерный вирус крадёт данные банковских карт под видом системных обновлений
JanelaRAT GReAT Kaspersky банковский троян Латинская Америка кибератаки вредоносное ПО

Хакеры делают ставку на полное отсутствие подозрений.

image

Новая волна атак на банковских клиентов в Латинской Америке показывает, как быстро эволюционируют финансовые трояны. Злоумышленники всё чаще упрощают схемы заражения и одновременно усложняют поведение вредоносного кода, делая его почти незаметным для пользователя.

Специалисты «Лаборатории Касперского» описали семейство JanelaRAT — это троян, нацеленный на кражу банковских и криптовалютных данных. Название происходит от португальского слова «janela» — «окно». Программа отслеживает активные окна браузера и реагирует на посещение сайтов конкретных финансовых организаций. В отличие от предшественника BX RAT, вредонос использует собственный механизм анализа заголовков окон, что помогает точнее выбирать жертвы и запускать атаки в нужный момент.

Распространение начинается с писем, маскирующихся под уведомления о неоплаченных счетах. Ссылка в таком письме ведёт на поддельный сайт, откуда загружается архив с набором файлов — от скриптов до исполняемых компонентов. Последние версии цепочки заражения упростили процесс. Теперь злоумышленники используют установочные MSI-файлы, которые сразу разворачивают вредонос и закрепляют его в системе.

Такой установщик скрывает реальные имена файлов, создаёт служебные объекты Windows и добавляет программу в автозагрузку. В системе появляется легитимно выглядящий файл, который подгружает библиотеку — именно в ней скрыт JanelaRAT. Для маскировки код шифруется и запутывается с помощью популярных инструментов обфускации.

После запуска троян собирает информацию о системе, определяет уровень прав пользователя и устанавливает соединение с управляющим сервером. JanelaRAT отслеживает активность, фиксирует работу с банковскими сервисами и может вмешиваться в сессии в реальном времени. Функции включают перехват нажатий клавиш, создание скриншотов, имитацию действий мыши и даже принудительное выключение компьютера.

Особую опасность представляет система поддельных экранов. При обнаружении банковского сайта троян разворачивает полноэкранное окно, имитирующее интерфейс банка или обновление Windows. Такие окна блокируют действия пользователя и вынуждают вводить пароли, токены и коды двухфакторной аутентификации.

Инфраструктура управления также изменилась. Серверы связи меняются ежедневно и формируются динамически, что усложняет блокировку. При этом соединение идёт через порт 443, но без использования стандартного шифрования TLS, что маскирует трафик под легитимный.

Основной удар приходится на пользователей банков в Бразилии и Мексике. По данным телеметрии, за 2025 год зафиксировано более 14 тысяч атак в Бразилии и почти 12 тысяч в Мексике. При этом версии трояна адаптируются под конкретные страны, а список целевых организаций регулярно обновляется.

JanelaRAT остаётся активной угрозой, которая сочетает скрытность, гибкость и глубокий контроль над системой жертвы. Разработчики вредоноса продолжают упрощать заражение и одновременно усиливать инструменты слежки и кражи данных.