JanelaRAT: Neuer Banking-Trojaner klaut Sitzungen in Echtzeit

Die Malware hat ihre Taktiken verfeinert und greift Bankkunden in Lateinamerika nun gezielter an. Besonders tückisch: eine neue Funktion zum Live-Diebstahl von Online-Banking-Sitzungen.

Echtzeit-Angriff statt passivem Datensammeln

Während ältere Versionen nur Anmeldedaten abfingen, übernimmt die aktuelle JanelaRAT-Variante aktiv laufende Banking-Sessions. Die Malware erkennt durch Überwachung der Browser-Fenstertitel genau, wann ein Opfer seine Bankseite aufruft. In diesem Moment schlägt sie zu.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Infektion startet meist über manipulierte MSI-Installationsdateien, die sich als legitime Software tarnen. Diese werden über Plattformen wie GitLab verbreitet. Ausgeführt, startet ein mehrstufiger Prozess mit Skripten in Go und PowerShell, der die Schadsoftware nachlädt. Zum Start missbraucht JanelaRAT rechtmäßige Dateien von Anbietern wie VMware – eine Technik namens DLL-Side-Loading, die die Erkennung erschwert.

Gefälschte Overlays fangen TANs und Token ab

Das tückischste Element sind gefälschte Bildschirmüberlagerungen. Diese legen sich über echte Bankseiten oder Systemmeldungen und fordern unter Vorwänden wie „Sicherheitsaktualisierung“ zur Eingabe von Transaktionsnummern (TANs) auf. Während das Opfer die gefälschte Nachricht bearbeitet, nutzen die Angreifer die Daten sofort für betrügerische Überweisungen.

Brasilien und Mexiko im Fokus der Angreifer

Die Telemetriedaten zeigen eine klare geografische Fokussierung: Allein 2025 registrierten Sicherheitsdienstleister über 14.700 JanelaRAT-Angriffe in Brasilien. In Mexiko waren es fast 11.700 Fälle. Auch Chile und Kolumbien geraten zunehmend ins Visier.

Experten wie Gaetano Pellegrino und Sudeep Singh von Zscaler, die JanelaRAT 2023 erstmals identifizierten, sehen eine enge Verbindung zu portugiesischsprachigen Entwicklern. Der Quellcode enthält zahlreiche Zeichenfolgen auf Portugiesisch. JanelaRAT gilt als stark modifizierte Variante des seit 2014 bekannten BX RAT, konzentriert sich aber fast ausschließlich auf den Diebstahl von Finanz- und Kryptodaten.

So infiziert JanelaRAT Systeme

Der Hauptinfektionsweg bleibt klassisches Phishing. E-Mails mit angeblichen Rechnungen oder Bankmitteilungen enthalten Links zu präparierten PDFs oder ZIP-Archiven. Die Qualität dieser Mails steigt stetig – sie sind oft kaum von echten Geschäftsschreiben zu unterscheiden.

Da allein in Deutschland pro Quartal rund 4,7 Millionen Online-Konten gehackt werden, ist der Schutz vor Phishing und Datenklau essenziell. Dieser kostenlose Report zeigt, wie Sie Passkeys bei Diensten wie Amazon, Microsoft und WhatsApp sofort einrichten und so Hackerangriffe verhindern. Kostenlosen Report für passwortlose Sicherheit sichern

Einmal aktiv, nistet sich die Malware dauerhaft ein, etwa im Windows-Autostart. Sie kommuniziert dann über verschlüsselte Verbindungen mit Command-and-Control-Servern. Die Angreifer nutzen dynamische DNS-Dienste und aktivieren Domains oft nur an bestimmten Tagen, um die Rückverfolgung zu erschweren.

Professionelle Cyberkriminalität „as a Service“

Der Erfolg von JanelaRAT spiegelt die Professionalisierung der Cyberkriminalität in Lateinamerika wider. Spezialisierte Gruppen passen bestehende Schadsoftware wie den BX RAT an und ergänzen sie mit modernen Techniken. Diese Spezialisierung macht herkömmliche, signaturbasierte Erkennung oft wirkungslos.

Die Malware verharrt lange inaktiv und wird erst lebendig, wenn der Nutzer eine Bankseite besucht. Dieses zielgerichtete Vorgehen minimiert ihre Spuren und erhöht die Erfolgschance.

Keine Entspannung in Sicht

Experten erwarten keine Entspannung der Lage. Die hohe Rentabilität treibt die Weiterentwicklung von Banking-Trojanern voran. Angreifer werden ihre Techniken zur Umgehung der Zwei-Faktor-Authentifizierung (2FA) voraussichtlich weiter verfeiner.

Die Entwicklung von JanelaRAT zeigt: Moderne Malware ist keine reine Technikfrage mehr, sondern eine koordinierte Kampagne, die technische Finesse und psychologische Täuschung verbindet.

de | boerse | 69139850 |