Malware evolui, consegue burlar a autenticação multifator, permitindo que criminosos interceptem operações bancárias em tempo real
Uma nova versão do JanelaRAT, identificada pela Kaspersky, se disfarça como um aplicativo de pixel art em computadores com Windows e mira usuários bancários na América Latina, com destaque para o Brasil. O país foi o mais visado na região, com 14,7 mil ataques registrados em 2025, seguido pelo México, com 11,6 mil ataques. O malware utiliza um sistema de sobreposição de tela para burlar o segundo fator de autenticação (MFA) e capturar senhas e tokens, permitindo que criminosos acompanhem e interfiram nas transações em tempo real e tem como principais alvos usuários de bancos, fintechs e criptomoedas Veja abaixo como se proteger.
O JanelaRAT, evolução do antigo BX RAT de 2014, costuma chegar por meio de e-mails que enganam o usuário com arquivos aparentemente inofensivos, muitas vezes se passando por faturas eletrônicas ou documentos importantes. Ao clicar em links ou baixar arquivos ZIP ou PDF anexados, o malware é instalado em notebooks ou computadores com Windows sem que a vítima perceba. Alguns e-mails ainda exibem botões falsos, ícones de PDF ou instruções visuais que parecem legítimas para induzir o usuário a baixar o arquivo malicioso.
A partir daí, os criminosos passam a monitorar a atividade do usuário, especialmente quando ele acessa serviços bancários, podendo interceptar transações em tempo real por meio de janelas falsas para capturar senhas, códigos de autenticação e tokens, além de interferir nas operações enquanto o acesso ao banco está em andamento.
Para fazer isto, o malware utiliza uma técnica de sobreposição de tela. Ele exibe janelas falsas que imitam o site do banco ou até atualizações do sistema, cobrindo a tela verdadeira. Nessas telas, o usuário é induzido a digitar senhas, códigos de autenticação ou outras informações sensíveis, que são imediatamente capturadas pelos criminosos. Essa versão também consegue burlar a autenticação multifator (MFA), capturando códigos de verificação enviados pelo banco ou aplicativo de segurança.
“O JanelaRAT continua sendo uma ameaça ativa e em evolução, mesmo com mudanças constantes. Observamos variações no malware e na forma como ele infecta os dispositivos, incluindo versões que atacam países específicos. A nova variante é mais sofisticada, combinando monitoramento detalhado das vítimas, janelas falsas interativas e controle remoto avançado. O malware foi feito para passar despercebido e se adaptar ao detectar programas de segurança”, comenta Maria Isabel Manjarrez, pesquisadora da equipe global de pesquisa e análise da Kaspersky.
Para se manter seguro, a Kaspersky recomenda que o usuário:
- Tenha cuidado ao abrir arquivos ou links recebidos por e-mail ou mensagem, eles podem conter malware.
- Use um programa de segurança confiável em todos os dispositivos, como o Kaspersky Premium, para prevenir infecções.
- Ative a opção de mostrar extensões de arquivos no Windows e desconfie de arquivos com extensões como "exe", "vbs" ou "scr", que podem ser maliciosos.
- Fique atento a e-mails falsos que imitam bancos ou lojas e nunca clique em links suspeitos.
Leia o relatório completo sobre Securelist.com para saber mais sobre a CrystalX RAT e seus indicadores de comprometimento.
