JanelaRAT a frappé plus de 26 000 cibles au Brésil et au Mexique en 2025. Ce trojan bancaire évolué utilise le DLL side-loading pour échapper aux détections.
En bref
- Le malware JanelaRAT a frappé 14 739 cibles au Brésil et 11 695 au Mexique en 2025, ciblant les institutions financières.
- Cette nouvelle variante utilise des installeurs MSI et le DLL side-loading pour échapper aux détections.
- Le malware surveille les fenêtres actives et ne s'active que lorsqu'un site bancaire est détecté.
Les banques d'Amérique latine font face à une menace persistante et de plus en plus sophistiquée. Selon un rapport publié par The Hacker News le 14 avril, le malware JanelaRAT a enregistré 14 739 attaques au Brésil et 11 695 au Mexique au cours de l'année 2025. Cette variante évoluée de BX RAT est spécifiquement conçue pour voler des données financières et des cryptomonnaies, tout en déployant des capacités avancées de surveillance : capture d'écran, enregistrement des frappes clavier et suivi des mouvements de souris.
L'évolution technique est notable. Les opérateurs de JanelaRAT sont passés des scripts Visual Basic à des installeurs MSI depuis mai 2024, une transition qui leur permet d'exploiter le DLL side-loading pour installer le malware et de créer des raccourcis dans le dossier Startup de Windows pour assurer la persistance. Cette approche rend la détection plus difficile pour les solutions de sécurité traditionnelles, car les installeurs MSI sont considérés comme légitimes par de nombreux outils.
Ce qui s'est passé
JanelaRAT fonctionne selon un mécanisme ciblé particulièrement vicieux. Une fois installé, le malware établit une connexion TCP avec un serveur de commande et contrôle pour signaler l'infection. Il compare ensuite le titre de la fenêtre active à une liste codée en dur d'institutions financières. Lorsqu'une correspondance est détectée — par exemple quand la victime accède à son portail bancaire en ligne — le malware attend 12 secondes avant d'ouvrir un canal C2 dédié et d'exécuter les instructions reçues du serveur.
Cette variante représente un saut qualitatif par rapport aux versions précédentes. Elle combine plusieurs canaux de communication, une surveillance complète de la victime, des overlays interactifs pour capturer les identifiants, de l'injection d'entrées et des capacités de contrôle à distance robustes. Le malware est également capable de détecter la présence de logiciels anti-fraude et d'adapter son comportement en conséquence, ce qui complique considérablement le travail des équipes de défense contre les attaques sophistiquées.
Pourquoi c'est important
L'Amérique latine est devenue un terrain d'expérimentation privilégié pour les trojans bancaires. JanelaRAT s'inscrit dans une tendance plus large qui inclut VENON, Casbaneiro et Astaroth, tous ciblant la région. La sophistication croissante de ces malwares — DLL side-loading, détection anti-fraude, overlays dynamiques — illustre une professionnalisation des acteurs malveillants qui rivalisent avec les techniques observées dans les attaques supply chain visant l'Europe et l'Amérique du Nord. Pour les entreprises françaises présentes au Brésil et au Mexique, cette menace est directe : les filiales utilisant des services bancaires locaux sont des cibles potentielles. Les équipes sécurité doivent surveiller les connexions TCP suspectes et renforcer la détection des compromissions visant les services financiers.
Ce qu'il faut retenir
- JanelaRAT a ciblé plus de 26 000 victimes au Brésil et au Mexique en 2025, avec des techniques d'évasion avancées.
- Le passage aux installeurs MSI et au DLL side-loading rend la détection plus complexe pour les antivirus classiques.
- Les entreprises ayant des filiales en Amérique latine doivent renforcer la surveillance des accès bancaires et déployer des solutions EDR capables de détecter le side-loading.
Comment se protéger contre JanelaRAT en entreprise ?
Déployez une solution EDR capable de détecter le DLL side-loading et les connexions TCP vers des C2 inconnus. Bloquez l'exécution d'installeurs MSI non approuvés via des politiques AppLocker ou WDAC. Sensibilisez les collaborateurs en Amérique latine aux vecteurs d'infection initiaux, généralement des pièces jointes ou des liens malveillants. Enfin, activez l'authentification multifacteur sur tous les portails bancaires d'entreprise.
Point clé à retenir
JanelaRAT illustre la montée en puissance des trojans bancaires sophistiqués qui combinent évasion, ciblage précis et adaptation aux défenses. La région Amérique latine concentre désormais certaines des menaces financières les plus avancées au monde.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-39987 : RCE dans Marimo exploitée en 10 heures
CVE-2026-39987 (CVSS 9.3) dans Marimo : l'endpoint WebSocket /terminal/ws expose un shell complet sans authentification. Exploitation active en moins de 10 heures après divulgation.
CVE-2026-20160 : RCE root critique dans Cisco SSM On-Prem
Cisco corrige CVE-2026-20160 (CVSS 9.8), une faille critique dans SSM On-Prem permettant l'exécution de commandes root à distance sans authentification. PoC public disponible.
CVE-2026-35616 : zero-day critique dans FortiClient EMS (9.1)
Fortinet corrige en urgence CVE-2026-35616, un zero-day CVSS 9.1 dans FortiClient EMS exploité activement depuis le 31 mars. Hotfix disponible pour les versions 7.4.5 et 7.4.6.
Commentaires (1)
Laisser un commentaire