JanelaRAT Serang Bank di Amerika Latin dengan 14.739 Serangan di Brasil pada 2025

Malware JanelaRAT menjadi ancaman serius bagi bank dan lembaga keuangan di Amerika Latin, khususnya di Brasil dan Meksiko. Pada tahun 2025, tercatat sebanyak 14.739 serangan yang terjadi di Brasil, menurut data telemetri dari vendor keamanan siber Rusia, Kaspersky.

Modifikasi Malware BX RAT dengan Fitur Canggih

JanelaRAT merupakan versi modifikasi dari BX RAT yang didesain untuk mencuri data keuangan dan cryptocurrency yang terkait dengan entitas finansial tertentu. Selain itu, malware ini mampu melakukan pelacakan input mouse, merekam ketukan keyboard, mengambil screenshot, dan mengumpulkan metadata sistem.

"Salah satu perbedaan utama JanelaRAT adalah mekanisme deteksi bilah judul khusus yang digunakan untuk mengenali situs web di browser korban dan melakukan aksi berbahaya," kata Kaspersky dalam laporan yang dirilis pada April 2026.

Para pelaku terus memperbarui rantai infeksi dan versi malware ini dengan menambahkan fitur-fitur baru secara berkala.

Rantai Serangan dan Metode Distribusi

JanelaRAT pertama kali terdeteksi oleh Zscaler pada Juni 2023, menggunakan berkas ZIP yang berisi skrip Visual Basic (VBScript) untuk mengunduh file ZIP kedua. File ini berisi executable asli dan payload DLL yang kemudian dijalankan melalui teknik DLL side-loading.

KPMG melaporkan pada Juli 2025 bahwa distribusi malware juga dilakukan melalui berkas MSI installer palsu yang menyamar sebagai perangkat lunak sah dan diunggah ke platform tepercaya seperti GitLab.

"Installer tersebut menjalankan proses infeksi multi-tahap menggunakan skrip yang ditulis dalam bahasa Go, PowerShell, dan batch," jelas KPMG. Skrip tersebut membuka berkas ZIP yang memuat executable RAT, ekstensi browser berbasis Chromium berbahaya, serta komponen pendukung lainnya.

Ekstensi browser ini secara diam-diam mengubah parameter peluncuran browser Chromium untuk memasang ekstensi tersebut. Ekstensi kemudian mengumpulkan informasi sistem, cookie, riwayat penjelajahan, ekstensi yang terpasang, dan metadata tab, serta melakukan aksi tertentu berdasarkan pola URL yang terdeteksi.

Metode Phishing dan Teknik Infeksi Terbaru

Kaspersky mendokumentasikan bahwa rantai serangan terbaru menggunakan email phishing yang menyamar sebagai faktur tertunggak. Korban didorong untuk mengunduh file PDF melalui tautan yang mengarah pada pengunduhan berkas ZIP dan memulai rantai infeksi dengan DLL side-loading untuk menginstal JanelaRAT.

Sejak Mei 2024, kampanye JanelaRAT beralih dari VBScript ke installer MSI yang berperan sebagai dropper malware, yang kemudian menciptakan shortcut Windows di folder Startup untuk menjaga keberlangsungan malware di sistem korban.

Fungsi dan Tujuan JanelaRAT

Setelah dijalankan, JanelaRAT menghubungi server command-and-control (C2) melalui soket TCP untuk mendaftarkan keberhasilan infeksi dan memantau aktivitas korban agar dapat menyadap interaksi bank yang sensitif.

Fokus utama malware ini adalah mendapatkan judul jendela aktif dan membandingkannya dengan daftar lembaga keuangan yang sudah diprogram. Jika cocok, JanelaRAT menunggu 12 detik sebelum membuka saluran C2 khusus dan menjalankan perintah jahat yang diterima.

• Mengirim screenshot ke server C2
• Memotong dan mengirim gambar dari area layar tertentu
• Menampilkan gambar layar penuh seperti "Mengonfigurasi pembaruan Windows, mohon tunggu" untuk menipu korban
• Membuat dialog palsu bertema bank untuk mencuri kredensial
• Merekam ketukan tombol keyboard
• Mensimulasikan aksi keyboard dan mouse (tekan tombol atas, bawah, tab, klik)
• Memaksa sistem untuk mematikan komputer
• Menjalankan perintah melalui cmd.exe dan skrip PowerShell
• Menyembunyikan jendela dari Task Manager
• Mendeteksi sistem anti-fraud dan alat sandbox
• Mengirim metadata sistem

Kaspersky menambahkan bahwa malware ini juga dapat memantau apakah pengguna sedang aktif atau tidak. Jika tidak ada input selama lebih dari 10 menit, malware akan melaporkan hal ini ke server C2, memungkinkan penjahat siber mengatur waktu operasi jarak jauh secara optimal.

Analisis Redaksi

Menurut pandangan redaksi, peningkatan kompleksitas JanelaRAT dengan berbagai teknik canggih seperti deteksi bilah judul kustom, penggunaan beberapa bahasa pemrograman dalam infeksi, serta kemampuan manipulasi browser dan sistem operasi menunjukkan tren peningkatan kecanggihan serangan siber terhadap sektor keuangan. Hal ini menimbulkan tantangan besar bagi bank-bank di Amerika Latin yang harus memperkuat pertahanan siber mereka.

Lebih jauh, metode phishing yang semakin meyakinkan dengan penyamaran sebagai faktur tertunggak dan penyebaran melalui platform tepercaya seperti GitLab menandakan bahwa pelaku ancaman semakin lihai dalam memanfaatkan kepercayaan pengguna dan infrastruktur digital resmi. Ini menggarisbawahi perlunya edukasi keamanan siber pada pengguna serta pengawasan ketat terhadap sumber perangkat lunak.

Ke depan, pengawasan terhadap pola serangan JanelaRAT dan pengembangan solusi deteksi dini yang memanfaatkan kecerdasan buatan bisa menjadi kunci dalam mencegah kompromi data finansial penting. Masyarakat dan pelaku industri harus terus mengikuti perkembangan ancaman ini melalui sumber terpercaya seperti laporan The Hacker News dan update dari lembaga keamanan siber global.

JanelaRAT bukan sekadar malware biasa, melainkan representasi nyata dari evolusi ancaman dunia maya yang menuntut kesiapsiagaan dan respons cepat dari semua pihak terkait, terutama di sektor keuangan yang sangat rentan.