JanelaRAT : le malware bancaire qui frappe l'Amérique latine

Les banques d'Amérique latine font face à une menace persistante et de plus en plus sophistiquée. Selon un rapport publié par The Hacker News le 14 avril, le malware JanelaRAT a enregistré 14 739 attaques au Brésil et 11 695 au Mexique au cours de l'année 2025. Cette variante évoluée de BX RAT est spécifiquement conçue pour voler des données financières et des cryptomonnaies, tout en déployant des capacités avancées de surveillance : capture d'écran, enregistrement des frappes clavier et suivi des mouvements de souris.

L'évolution technique est notable. Les opérateurs de JanelaRAT sont passés des scripts Visual Basic à des installeurs MSI depuis mai 2024, une transition qui leur permet d'exploiter le DLL side-loading pour installer le malware et de créer des raccourcis dans le dossier Startup de Windows pour assurer la persistance. Cette approche rend la détection plus difficile pour les solutions de sécurité traditionnelles, car les installeurs MSI sont considérés comme légitimes par de nombreux outils.

Ce qui s'est passé

JanelaRAT fonctionne selon un mécanisme ciblé particulièrement vicieux. Une fois installé, le malware établit une connexion TCP avec un serveur de commande et contrôle pour signaler l'infection. Il compare ensuite le titre de la fenêtre active à une liste codée en dur d'institutions financières. Lorsqu'une correspondance est détectée — par exemple quand la victime accède à son portail bancaire en ligne — le malware attend 12 secondes avant d'ouvrir un canal C2 dédié et d'exécuter les instructions reçues du serveur.

Cette variante représente un saut qualitatif par rapport aux versions précédentes. Elle combine plusieurs canaux de communication, une surveillance complète de la victime, des overlays interactifs pour capturer les identifiants, de l'injection d'entrées et des capacités de contrôle à distance robustes. Le malware est également capable de détecter la présence de logiciels anti-fraude et d'adapter son comportement en conséquence, ce qui complique considérablement le travail des équipes de défense contre les attaques sophistiquées.

Pourquoi c'est important

L'Amérique latine est devenue un terrain d'expérimentation privilégié pour les trojans bancaires. JanelaRAT s'inscrit dans une tendance plus large qui inclut VENON, Casbaneiro et Astaroth, tous ciblant la région. La sophistication croissante de ces malwares — DLL side-loading, détection anti-fraude, overlays dynamiques — illustre une professionnalisation des acteurs malveillants qui rivalisent avec les techniques observées dans les attaques supply chain visant l'Europe et l'Amérique du Nord. Pour les entreprises françaises présentes au Brésil et au Mexique, cette menace est directe : les filiales utilisant des services bancaires locaux sont des cibles potentielles. Les équipes sécurité doivent surveiller les connexions TCP suspectes et renforcer la détection des compromissions visant les services financiers.

Ce qu'il faut retenir

• JanelaRAT a ciblé plus de 26 000 victimes au Brésil et au Mexique en 2025, avec des techniques d'évasion avancées.
• Le passage aux installeurs MSI et au DLL side-loading rend la détection plus complexe pour les antivirus classiques.
• Les entreprises ayant des filiales en Amérique latine doivent renforcer la surveillance des accès bancaires et déployer des solutions EDR capables de détecter le side-loading.