Uma nova versão do JanelaRAT se disfarça como um aplicativo de pixel art em computadores com Windows e mira usuários de bancos no Brasil, entre outros países da América Latina.O trojan de acesso remoto (RAT), é um malware evoluído do BX RAT, de 2014. Ele usa um sistema de sobreposição de telas para burlar a autenticação de múltiplo fator e capturar senhas e tokens. Com isso, criminosos conseguem acompanhar e fazer transações em tempo real.O que é Trojan de Acesso Remoto: Um Trojan de Acesso Remoto (RAT) é um malware que se disfarça de software legítimo para roubar informações do sistema, contas etc.O malware tem como principais alvos usuários de bancos, fintechs e criptomoedas, e costuma chegar por e-mails com arquivos maliciosos. Isso inclui se passar por faturas eletrônicas ou documentos importantes. Ao clicar nos links ou baixar arquivos ZIP ou PDF anexados, o malware é instalado em dispositivos Windows sem que a vítima perceba.E-mail de phishing usado na campanha do JanelaRAT simula uma notificação de fatura para induzir a vítima a baixar um arquivo ZIP malicioso hospedado no Dropbox. Imagem: Kaspersky.Alguns e-mails podem exibir botões falsos, ícones de PDF ou instruções visuais que parecem legítimas para induzir o usuário a baixar o arquivo malicioso.JanelaRAT começa com e-mail falsoA partir disso, os criminosos começam a monitorar a atividade do usuário, especialmente quando ele acessa serviços bancários. Isso porque, com o JanelaRAT, eles conseguem interceptar transações em tempo real por meio de janelas falsas. O que eles fazem é capturar senhas, códigos de autenticação e tokens, além de interferir nas operações enquanto o acesso ao banco está em andamento.A técnica usada pelo malware se chama sobreposição de tela. Nela, o RAT exibe janelas falsas que imitam o site do banco ou até atualizações do sistema, cobrindo a tela verdadeira.Diagrama da Kaspersky mostra a evolução das cadeias de infecção do JanelaRAT entre março de 2024 e setembro de 2025, com simplificação progressiva das etapas até a entrega da carga final. Imagem: Kaspersky.Nessas telas, o usuário é induzido a digitar senhas, códigos de autenticação ou outras informações sensíveis, que são imediatamente capturadas pelos criminosos. Essa versão também consegue burlar a autenticação multifator (MFA), capturando códigos de verificação enviados pelo banco ou aplicativo de segurança.Cadeia de infecção mais curta, mas mais perigosaA investigação da Kaspersky identificou que os arquivos compactados utilizados na campanha geralmente continham scripts VBScript, arquivos XML, ZIPs adicionais e arquivos BAT. O destino final dessa cadeia era o download de um ZIP com componentes para instalação de DLLs fora da pasta principal e a execução do JanelaRAT como carga útil.A versão mais recente da campanha, no entanto, abandonou parte dessa complexidade. Os agentes de ameaça passaram a usar arquivos MSI para distribuir um executável PE32 legítimo acompanhado de uma DLL maliciosa, instalada manualmente pelo próprio executável. Essa DLL é o JanelaRAT.O instalador que finge ser legítimoO arquivo MSI funciona como instalador inicial: prepara o ambiente, garante a persistência e dificulta a análise ao ofuscar caminhos e nomes de arquivos. Ele também abusa da criação de objetos ActiveX — basicamente, componentes do Windows usados para automatizar tarefas — para manipular o sistema de arquivos e executar comandos.Trecho do código do JanelaRAT mostra função de monitoramento de inatividade: o malware só aciona determinadas rotinas após 10 minutos sem interação do usuário. Imagem: Kaspersky.Durante a execução, o MSI define diretórios com base em variáveis de ambiente e cria um atalho na pasta de inicialização do sistema. Se for a primeira vez que o malware roda na máquina, um marcador é criado. Se esse marcador já existir, o instalador redireciona a vítima para um site externo como isca, simulando comportamento legítimo.Na prática, dois arquivos são depositados no sistema — um executável e uma DLL, ambos renomeados com strings aleatórias antes de serem reposicionados. Um atalho LNK na pasta de inicialização aponta para o executável, que ao rodar carrega a DLL com o JanelaRAT.Disfarçado de app de pixel art, focado em bancosA variante analisada se disfarça como um aplicativo de pixel art e aplica técnicas clássicas de ofuscação em .NET, como achatamento de fluxo de controle e renomeação de classes — recursos que tornam o código mais difícil de analisar. O foco principal é fraude financeira.O objetivo final do JanelaRAT é a fraude financeira: com acesso total à sessão bancária da vítima, os operadores podem desviar valores em tempo real sem precisar roubar senhas.O malware monitora a atividade da vítima, intercepta interações sensíveis em ambientes bancários e mantém comunicação constante com um servidor de comando e controle (C2). Além de coletar informações do sistema e do perfil do usuário, o trojan usa mutex — basicamente, um mecanismo de bloqueio — para evitar que múltiplas instâncias rodem ao mesmo tempo.A comunicação com o C2 usa strings criptografadas com base64 combinada a AES, e o canal ativo é mantido via socket TCP. Entre as rotinas do malware estão o monitoramento de inatividade do usuário, o envio periódico de beacons HTTP com dados do ambiente comprometido, o download de cargas adicionais e o reforço de persistência via scripts PowerShell.Sequestro de sessão bancária em tempo realO JanelaRAT verifica constantemente a janela ativa em busca de títulos associados a instituições financeiras. Ao identificar um alvo, estabelece um canal dedicado com o C2 em questão de segundos. A partir daí, os operadores podem capturar a tela, registrar entradas de teclado, simular comandos e até sequestrar a sessão bancária.Apesar do foco em desktops Windows, o JanelaRAT integra capacidades de monitoramento remoto avançado típicas de ameaças que também afetam usuários móveis em ambientes bancários.Diferente de versões anteriores, essa variante rotaciona o servidor C2 diariamente. O domínio é construído dinamicamente ao concatenar uma string ofuscada, a data atual e um sufixo vinculado a um serviço de DNS dinâmico (DDNS) legítimo.Telas falsas bloqueiam a vítima e capturam credenciaisAo detectar um site bancário, o malware consulta o C2 e exibe uma interface falsa em tela cheia — geralmente enviada em Base64 — que imita páginas legítimas ou alertas do sistema e impede qualquer interação da vítima com o que está por trás.O golpe é conduzido por janelas modais que simulam desde formulários de login até telas de "atualização do Windows", sempre com mensagens em português para reforçar a credibilidade. Os operadores também podem exibir alertas personalizados mantidos em primeiro plano, bloqueando o acesso a outras janelas.O JanelaRAT mira sistemas Windows e abusa de recursos nativos do sistema operacional, como objetos ActiveX e a pasta de inicialização, para garantir persistência.Nos bastidores, o malware inclui checagens anti-análise com detecção de ambiente via componentes de acessibilidade e reforça a persistência com scripts no diretório de inicialização do Windows, executados silenciosamente a cada logon. O foco continua sendo instituições financeiras da América Latina, com concentração no Brasil e no México.Como se protegerPara se manter seguro, a Kaspersky recomenda que o usuário:• Tenha cuidado ao abrir arquivos ou links recebidos por e-mail ou mensagem, eles podem conter malware.• Use um programa de segurança confiável em todos os dispositivos, como o Kaspersky Premium, para prevenir infecções.• Ative a opção de mostrar extensões de arquivos no Windows e desconfie de arquivos com extensões como "exe", "vbs" ou "scr", que podem ser maliciosos.• Fique atento a e-mails falsos que imitam bancos ou lojas e nunca clique em links suspeitos.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.