Nuevo virus informático roba datos de tarjetas bancarias haciéndose pasar por actualizaciones del sistema

Una nueva ola de ataques contra clientes bancarios en América Latina muestra lo rápido que evolucionan los troyanos financieros. Los atacantes simplifican cada vez más los esquemas de infección y, al mismo tiempo, complican el comportamiento del código malicioso, haciéndolo casi imperceptible para el usuario.

Los especialistas del Laboratorio Kaspersky describieron la familia JanelaRAT — un troyano diseñado para robar datos bancarios y de criptomonedas. El nombre proviene de la palabra portuguesa "janela" — "ventana". El programa supervisa las ventanas activas del navegador y reacciona al acceso a sitios de determinadas entidades financieras. A diferencia de su predecesor BX RAT, el malware utiliza su propio mecanismo de análisis de los títulos de las ventanas, lo que ayuda a seleccionar las víctimas con más precisión y a lanzar ataques en el momento oportuno.

La propagación comienza con correos que se hacen pasar por notificaciones de facturas impagas. El enlace en ese correo conduce a un sitio falso, desde donde se descarga un archivo comprimido con un conjunto de archivos — desde scripts hasta componentes ejecutables. Las versiones más recientes de la cadena de infección han simplificado el proceso. Ahora los atacantes emplean archivos MSI instaladores que despliegan inmediatamente el malware y lo aseguran en el sistema.

Ese instalador oculta los nombres reales de los archivos, crea objetos de servicio de Windows y añade el programa al inicio automático. En el sistema aparece un archivo con apariencia legítima que carga una biblioteca; es en esa biblioteca donde se oculta JanelaRAT. Para disfrazarlo, el código se cifra y se ofusca con herramientas populares de ofuscación.

Tras activarse, el troyano recopila información del sistema, determina el nivel de privilegios del usuario y establece conexión con un servidor de control. JanelaRAT supervisa la actividad, registra el uso de servicios bancarios y puede intervenir en las sesiones en tiempo real. Sus funciones incluyen el registro de pulsaciones, la creación de capturas de pantalla, la simulación de acciones del ratón e incluso el apagado forzado del equipo.

Especialmente peligroso es el sistema de pantallas falsas. Al detectar un sitio bancario, el troyano despliega una ventana a pantalla completa que imita la interfaz del banco o una actualización de Windows. Esas ventanas bloquean las acciones del usuario y obligan a introducir contraseñas, tokens y códigos de autenticación de dos factores.

La infraestructura de control también ha cambiado. Los servidores de comunicación cambian diariamente y se generan de forma dinámica, lo que complica su bloqueo. Además, la conexión utiliza el puerto 443, pero sin empleo del cifrado estándar TLS, lo que disfraza el tráfico como legítimo.

El golpe principal afecta a los usuarios bancarios en Brasil y México. Según la telemetría, en 2025 se registraron más de 14.000 ataques en Brasil y casi 12.000 en México. Las versiones del troyano se adaptan a países concretos y la lista de organizaciones objetivo se actualiza con regularidad.

JanelaRAT sigue siendo una amenaza activa que combina sigilo, flexibilidad y un control profundo del sistema de la víctima. Los desarrolladores del malware continúan simplificando la infección y, al mismo tiempo, reforzando las herramientas de vigilancia y robo de datos.