Um novo vírus para o sistema operacional Windows parece ter sido desenvolvido no Brasil para atingir usuários de toda a América Latina, de olho em senhas bancárias e credenciais de sistemas financeiros. O JanelaRAT coloca bancos, fintechs e carteiras de criptomoedas na mira, com ataques que começaram a ser registrados em junho deste ano.

Foi neste período que os especialistas da Zscaler, empresa de cibersegurança, descobriram a praga circulando especificamente em nosso território. De acordo com os pesquisadores, a associação com o Brasil aparece pelo uso da língua portuguesa em códigos, metadados e outros elementos da programação do malware, que foi citado como extremamente complexo e representante de uma ameaça significativa para empresas e indivíduos da América Latina.

Isso se deve às diferentes táticas usadas pelos bandidos, tanto para roubar credenciais quanto para se esconder de sistemas de segurança. Entre as explorações está uma checagem constante de uso do computador — a cada cinco segundos, o JanelaRAT verifica o tempo desde a última interação e interrompe suas atividades caso ele exceda 10 minutos. Assim, garante que suas ações apareçam em meio à utilização da máquina, sendo mais difícil de detectar.

O carregamento lateral de arquivos a partir de infraestruturas legítimas, com contas comprometidas em serviços da Microsoft e da VMware, também serve como ponto de contato para a implantação de elementos maliciosos que escapam de sistemas de segurança. Configurações dinâmicas, bem como uma leitura constante dos títulos de janelas e abas no sistema, também garantem o mínimo de atividade possível, para evitar que a atividade maliciosa seja flagrada.

Enquanto a Zscaler afirma não saber exatamente o vetor de disseminação do JanelaRAT, a origem das amostras maliciosas em dados no formato ZIP indica que o phishing por e-mail pode ser o elemento central de disseminação. Ao ser descompactada, a praga usa scripts VBS e arquivos BAT para se implantar na máquina, iniciando a cadeia de contaminações e seu estado de dormência, agindo somente no momento oportuno.

Vírus tem semelhança com outro malware conhecido

Em sua análise, a empresa de segurança também apontou similaridades entre o JanelaRAT e outra praga conhecida, o BX RAT. O trojan de acesso remoto circula desde 2014 e serve como base para outras ameaças do tipo, importando elementos como as técnicas de comunicação com servidores maliciosos e a compressão de pacotes, com criptografia que serve para ocultar o conteúdo perigoso do monitoramento antivírus.

De acordo com a Zscaler, a antiga praga seria apenas a base da nova ameaça, com seus criadores investindo bastante tempo no desenvolvimento de capacidades únicas que tornam o JanelaRAT uma ameaça maior que seu antecessor. A ideia final, apontam os especialistas, é que uma nova cepa de malwares pode ser originada daqui, levando a novos ataques contra o setor financeiro no futuro.

A empresa de cibersegurança divulgou indicadores de comprometimento e outros sinais do vírus que podem ser adicionados a plataformas de proteção. Enquanto o vetor de entrada é desconhecido, a similaridade com ataques via e-mail reforçam a atenção ao correio eletrônico, com os usuários devendo evitar clicar em links e executar arquivos anexos de fontes desconhecidas, bem como manter soluções de segurança sempre ativas para que auxiliem na detecção de ameaças e explorações.

Fonte: CanalTech