La nueva campaña Janela RAT utiliza instaladores MSI falsos y extensiones de navegador maliciosas para robar datos

Una nueva campaña de malware que involucra un troyano de acceso remoto llamado Janela RAT ha estado apuntando activamente a instituciones financieras y plataformas de criptomonedas en toda América Latina. Los actores de amenazas detrás de este ataque utilizan archivos de instalación MSI falsos y extensiones de navegador maliciosas para infiltrarse en los sistemas y robar datos financieros confidenciales de víctimas desprevenidas.

Janela RAT se identificó por primera vez a mediados de 2023 y se cree ampliamente que es una variante modificada de BX RAT, un troyano más antiguo reutilizado con capacidades más avanzadas. Los actores de amenazas que ejecutan esta campaña tienen motivaciones financieras y tienen el objetivo claro de robar credenciales y obtener acceso no autorizado a cuentas. La capacidad de la campaña para manipular silenciosamente los navegadores instalados mientras mantiene la comunicación cifrada con los servidores controlados por el atacante hace que sea particularmente difícil de contener. Las comunicaciones cifradas de comando y control, junto con un comportamiento que imita la actividad normal del navegador, hacen que este malware sea muy difícil de detectar con herramientas de seguridad estándar.

Esta extensión se registra como un host de mensajería nativo y utiliza una función integrada llamada CollectRefresh para recopilar una amplia gama de datos confidenciales, incluidos detalles del sistema, cookies del navegador, historial de navegación, extensiones instaladas e información de pestañas abiertas. La publicación La nueva campaña Janela RAT utiliza instaladores MSI falsos y extensiones de navegador maliciosas para robar datos apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗