MalwareHackerangriffeCyberkriminalität

JanelaRAT: Brasilianische Banken im Visier einer gefährlichen Banking-Malware

JanelaRAT: Brasilianische Banken im Visier einer gefährlichen Banking-Malware
Zusammenfassung

Die lateinamerikanischen Finanzinstitute sind zunehmend im Visier einer gefährlichen Malware-Familie namens JanelaRAT, die 2025 eine beispiellose Angriffswelle auslöste. Mit über 14.739 dokumentierten Angriffen allein in Brasilien und 11.695 in Mexiko zeigt sich die Bedrohung in besorgniserregender Dimension. Bei JanelaRAT handelt es sich um eine modifizierte Variante des BX RAT, die spezialisiert auf den Diebstahl von Finanz- und Kryptowährungsdaten abzielt und gleichzeitig Tastatureingaben protokolliert, Screenshots erstellt und Systeminformationen sammelt. Die Malware nutzt eine raffinierte Infektionskette über Phishing-E-Mails mit gefälschten Rechnungen, manipulierte MSI-Installer-Dateien und Browser-Erweiterungen. Besonders bemerkenswert ist der Einsatz von DLL-Seitenladen-Techniken und eine intelligente Erkennungsmechanik, die gezielt Bankenseiten identifiziert. Für deutsche Nutzer, Unternehmen und Behörden stellt diese Entwicklung eine indirekte, aber wachsende Bedrohung dar, da deutsche Institute durch Geschäftsbeziehungen zu lateinamerikanischen Partnern und durch die globale Natur von Cyberkriminalität potenziell gefährdet sind. Die kontinuierliche Weiterentwicklung der Schadsoftware unterstreicht die Notwendigkeit verstärkter Cybersicherheitsmaßnahmen.

JanelaRAT hat sich als ernstzunehmende Bedrohung für den Bankensektor in Lateinamerika etabliert. Die Malware nutzt ein ausgeklügeltes System zur Identifikation von Zielbanken und führt nur dann Malware-Funktionen aus, wenn Opfer deren Websites besuchen. Ein Kernmerkmal ist der custom Title-Bar-Detection-Mechanismus, der gezielt nach bestimmten Finanzinstituten sucht.

Die Angreifer verwenden eine Mehrschichten-Infektionskette, die sich im Laufe der Jahre erheblich verfeinert hat. Während frühe Varianten auf Visual Basic Scripts setzten, migrierte die Kampagne ab Mai 2024 zu gefälschten MSI-Installer-Dateien. Diese täuschen legitime Software vor und werden über vertrauenswürdige Plattformen wie GitLab verbreitet. Die neueste dokumentierte Angriffsmethode setzt auf Phishing-E-Mails, die als ausstehende Rechnungen getarnt sind und Nutzer dazu verleiten, PDFs herunterzuladen.

Besonders raffiniert ist die Integration einer bösartigen Chromium-basierten Browser-Erweiterung. Nach der Installation modifiziert die Malware die Startparameter von Browsern und installiert das bösartige Add-on heimlich. Diese Extension sammelt Systeminformationen, Cookies, Browser-Historie und Reiter-Metadaten.

Die Malware kommuniziert mit Command-and-Control-Servern über TCP-Sockets und wartet passiv, bis das Opfer ein Zielfinanzinstitut besucht. Dann öffnet sie einen dedizierten C2-Kanal und führt Befehle des Angreifers aus. Besonders bemerkenswert ist die Inaktivitätserkennung: Wenn ein Nutzer länger als 10 Minuten inaktiv ist, benachrichtigt die Malware die Angreifer – eine Technik, um Operationen zeitlich optimal zu planen.

Kaspersky zufolge entwickelt sich JanelaRAT kontinuierlich weiter. Die neueste Variante kombiniert mehrere Kommunikationskanäle, umfassende Opfer-Überwachung, interaktive Overlays und robuste Remote-Control-Funktionen. Die Malware ist speziell darauf ausgelegt, ihre Aktivitäten vor Nutzern zu verbergen und ihre Verhaltensweise anzupassen, falls Anti-Fraud-Software erkannt wird.

Für Unternehmen ist die Bedrohung real: Die DLL-Side-Loading-Technik und die Verwendung legitimer Installer erschweren die Erkennung erheblich. Sicherheitsexperten empfehlen verstärkte Endpunkt-Überwachung, regelmäßige Sicherheitstrainings für Mitarbeiter und Multi-Faktor-Authentifizierung für Finanztransaktionen.

Ähnliche Artikel