Netcrook Logo
👤 TRUSTBREAKER
🗓️ 14 Apr 2026   🌍 South America

Installer fantasma: reti finanziarie latinoamericane sotto assedio da Janela RAT

Una sofisticata campagna malware sfrutta falsi installer ed estensioni del browser malevole per sottrarre dati sensibili a banche e utenti crypto in Cile, Colombia e Messico.

Tutto inizia con un semplice download: un installer di Windows dall’aspetto affidabile, preso da un repository pubblico. Ma sotto l’icona familiare si nasconde un predatore digitale: Janela RAT. Mentre le istituzioni finanziarie in tutta l’America Latina si affannano a contenere l’ennesima ondata di violazioni, Netcrook indaga su come un’astuta combinazione di software fasullo, manipolazione del browser e comunicazioni cifrate stia alimentando un furto silenzioso di dati nel settore finanziario della regione.

Dentro l’operazione Janela RAT

Emerso per la prima volta a metà del 2023, Janela RAT è ritenuto un derivato “weaponized” del famigerato BX RAT. Il suo metodo di consegna è tanto insidioso quanto efficace: gli attaccanti caricano file di installazione MSI manomessi su repository pubblici, camuffandoli da software legittimo. Utenti ignari - spesso dipendenti di aziende finanziarie - vengono adescati e scaricano ciò che credono siano applicazioni sicure.

L’esecuzione dell’installer innesca una catena d’infezione accuratamente coreografata. Script scritti in Go, PowerShell e linguaggio batch estraggono un archivio protetto da password, liberando l’eseguibile di Janela RAT e un’estensione del browser malevola, costruita su misura. Questa estensione è il perno della campagna: sfrutta le API dei browser basati su Chromium per intercettare cronologia, cookie, attività delle schede e persino rilevare quando gli utenti visitano piattaforme bancarie o di criptovalute. In quei momenti, il RAT entra in azione, raccogliendo credenziali con un’efficienza agghiacciante.

La furtività del malware è potenziata da diversi livelli di offuscamento. I suoi binari sono pesantemente “scrambled”; i server di comando e controllo (C2) sono nascosti dietro codifica base64 e ruotati di frequente per evitare il blacklisting. La comunicazione tra le macchine infette e questi server è cifrata tramite WebSocket, rendendo l’analisi del traffico di rete una sfida per i difensori. Quando non sta esfiltrando attivamente dati, Janela RAT simula uno stato di quiescenza, riducendo ulteriormente la probabilità di rilevamento.

Gli analisti di sicurezza avvertono che questa campagna segnala una rinnovata e altamente professionalizzata spinta da parte dei cybercriminali latinoamericani a sfruttare sia le supply chain del software sia le vulnerabilità dei browser. La combinazione tra abuso degli installer nativi e dirottamento tramite estensioni del browser segna una significativa escalation delle tattiche, mettendo a rischio non solo i singoli individui ma intere organizzazioni, esposte a furti di credenziali su larga scala.

Conclusione: la posta in gioco della fiducia digitale

La diffusione di Janela RAT è un monito netto: nel panorama odierno delle minacce, anche i download più routinari possono scatenare il caos. Mentre le reti finanziarie latinoamericane affrontano questa nuova forma di attacco informatico, il messaggio è chiaro: la fiducia digitale va guadagnata e rivalutata costantemente. Per i difensori, una vigilanza a più livelli e un threat hunting proattivo non sono più opzionali, ma essenziali. Per gli utenti, un attimo di cautela prima di cliccare “Installa” può fare la differenza tra la sicurezza e diventare la prossima vittima.

TECHCROOK

Bitdefender Total Security è una suite di protezione pensata per contrastare minacce come RAT e campagne basate su installer MSI manomessi ed estensioni browser malevole. Integra rilevamento comportamentale e anti-malware in tempo reale per bloccare esecuzioni sospette (script, dropper, payload multi-fase) e ridurre l’impatto dell’offuscamento. Include moduli anti-phishing e protezione web utili contro download da fonti non affidabili e tentativi di furto credenziali durante l’accesso a servizi bancari o crypto. La componente di protezione della navigazione aiuta a intercettare reindirizzamenti e attività anomale legate al dirottamento del browser, mentre gli aggiornamenti frequenti migliorano la risposta a C2 e tecniche emergenti. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Total Security è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Trojan di accesso remoto (RAT): Un Trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer della vittima da qualsiasi luogo, permettendo furto e spionaggio.
  • Installer MSI: Un Installer MSI è un formato di file Windows usato per installare, aggiornare o rimuovere software. Può anche essere sfruttato per distribuire programmi malevoli.
  • Estensione del browser: Un’estensione del browser è un piccolo componente aggiuntivo che migliora le funzionalità del browser, ma può anche essere usato impropriamente dagli hacker per rubare dati o spiare gli utenti.
  • Offuscamento: L’offuscamento è la pratica di mascherare codice o dati per renderli difficili da comprendere, analizzare o rilevare per gli esseri umani o per gli strumenti di sicurezza.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
Janela RAT Latin America Cybersecurity
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news