Uma nova campanha de malware envolvendo um Trojan de Acesso Remoto chamado Janela RAT tem sido ativamente direcionando instituições financeiras e plataformas de criptomoedas em toda a América Latina. Os autores das ameaças por trás deste ataque estão usando arquivos instaladores MSI falsos e extensões maliciosas de navegador para infiltrar sistemas e roubar dados financeiros sensíveis de vítimas desprevenidas.
Perfil da ameaça e histórico
O Janela RAT foi identificado pela primeira vez em meados de 2023 e é amplamente acreditado ser uma variante modificada do BX RAT, um trojano mais antigo repurposado com capacidades mais avançadas. O malware especificamente direciona usuários no Chile, Colômbia e México, e foi construído para atingir os setores bancário, fintech e de criptomoedas.
Os atores de ameaças executando esta campanha são motivados financeiramente, com um objetivo claro de roubar credenciais e ganhar acesso não autorizado a contas. Analistas da KPMG notaram e identificaram a estrutura avançada de múltiplos estágios deste ataque, sinalizando-o como uma ameaça significativa para a infraestrutura financeira da América Latina.
Vetores de infecção e técnica de ataque
A infecção começa no momento em que um usuário executa o que parece ser um instalador de software regular no formato MSI. Esses arquivos instaladores são hospedados em repositórios públicos do GitLab e são cuidadosamente disfarçados para parecerem confiáveis e legítimos. Uma vez executado, o instalador silenciosamente dispara uma cadeia de scripts escritos em Go, PowerShell e batch, cada um desempenhando um papel específico na configuração do ataque completo.
Um descompactador baseado em Go extrai um arquivo ZIP protegido por senha, decodifica detalhes de domínio de comando e controle codificados em base64 e escreve tudo em um arquivo config.json para uso operacional durante a campanha. Ao mesmo tempo, os scripts escaneiam a máquina infectada em busca de qualquer navegador baseado em Chromium e silenciosamente modificam suas configurações de inicialização para carregar silenciosamente uma extensão maliciosa sem o conhecimento do usuário.
Impacto no setor financeiro e conformidade
O impacto geral desta campanha vai muito além do simples roubo de dados. Ao acessar navegadores e colher cookies, credenciais salvas e histórico de navegação, os atacantes ganham visibilidade completa da atividade financeira de uma vítima. Esse nível de acesso permite que eles contornem etapas de autenticação, assumam contas ou monitorem transações financeiras em tempo real sem que a vítima perceba o que está acontecendo.
Para organizações que operam no espaço bancário e fintech, esse tipo de infiltração representa um risco operacional e reputacional sério. A capacidade de manipular navegadores instalados enquanto mantém comunicação criptografada com servidores controlados por atacantes torna o malware particularmente difícil de conter.
Medidas de mitigação recomendadas
Equipes de segurança devem tomar as seguintes medidas para reduzir a exposição a esta ameaça:
- Monitorar o ambiente para indicadores de comprometimento conhecidos (IoCs), incluindo domínios, endereços IP e hashes de arquivos associados a esta campanha.
- Garantir que todos os sistemas Windows estejam totalmente atualizados e protegidos com autenticação multifator (MFA).
- Realizar um exercício de avaliação de ameaças de espectro completo para descobrir pontos cegos e lacunas na postura de segurança.
- Revisar políticas de instalação de extensões de navegador e bloquear fontes não confiáveis.
O que os CISOs devem fazer imediatamente
Executivos de segurança devem garantir que suas equipes de SOC estejam monitorando tráfego de rede para conexões C2 suspeitas e comportamento anômalo de navegadores. A conscientização dos usuários sobre a instalação de software de fontes não confiáveis deve ser reforçada, especialmente para funcionários em setores financeiros.