Найти в Дзене
Secure Defence - Ваша кибербезопасность
1052 подписчика

🔥 JanelaRAT уже здесь: почему банковский счёт под угрозой прямо сейчас

1
10 мин
В открытых источниках сообщается о росте активности финансового трояна JanelaRAT, который ранее был распространён преимущественно в странах Латинской Америки. Типовая схема: сотрудник получает письмо, имитирующее уведомление от налоговой службы или банка, переходит по ссылке и запускает архивный файл. По данным из практики реагирования на инциденты, в одном из случаев после подобного заражения с расчётного счёта организации были списаны значительные средства, несмотря на использование лицензионного антивирусного решения, EDR и двухфакторной аутентификации. В этом материале — анализ принципов работы JanelaRAT, причины его появления в российском корпоративном сегменте и практические рекомендации по защите. Согласно информации из открытых источников, ещё два года назад JanelaRAT был известен в основном за пределами России. По данным телеметрии за 2025 год, в Бразилии зафиксировано более 14 тысяч атак с использованием этого трояна, в Мексике — почти 12 тысяч. Начиная с 2026 года, отмечаетс
Оглавление
Технические особенности JanelaRAT
Технические особенности JanelaRAT

Финансовые трояны: анализ угрозы JanelaRAT и меры защиты для бизнеса

В открытых источниках сообщается о росте активности финансового трояна JanelaRAT, который ранее был распространён преимущественно в странах Латинской Америки. Типовая схема: сотрудник получает письмо, имитирующее уведомление от налоговой службы или банка, переходит по ссылке и запускает архивный файл. По данным из практики реагирования на инциденты, в одном из случаев после подобного заражения с расчётного счёта организации были списаны значительные средства, несмотря на использование лицензионного антивирусного решения, EDR и двухфакторной аутентификации. В этом материале — анализ принципов работы JanelaRAT, причины его появления в российском корпоративном сегменте и практические рекомендации по защите.

Откуда взялся JanelaRAT и почему он стал опасен для организаций в России

Согласно информации из открытых источников, ещё два года назад JanelaRAT был известен в основном за пределами России. По данным телеметрии за 2025 год, в Бразилии зафиксировано более 14 тысяч атак с использованием этого трояна, в Мексике — почти 12 тысяч.

Начиная с 2026 года, отмечается изменение географии атак. По сведениям из публичных каналов, первые образцы JanelaRAT, ориентированные на русскоязычных пользователей, появились в феврале. На начальном этапе они содержали признаки низкого качества — несовершенные методы маскировки и грамматические ошибки в фишинговых письмах. Однако впоследствии качество подготовки атак повысилось: письма стали визуально соответствовать уведомлениям крупных банков, а цепочка заражения упростилась — используется единый MSI-пакет, не требующий дополнительных действий.

Как JanelaRAT проникает в систему — анализ цепочки заражения

Сотрудники компаний ежедневно получают десятки писем. В одном из таких писем может содержаться тема, связанная с просрочкой оплаты, и ссылка на якобы актуальный счёт-фактуру. Ссылка ведёт на страницу, дизайн которой копирует интерфейс банка. Пользователь скачивает архив с именем, например, «schet_factura_2026.msi».

По данным из открытых источников и практики реагирования, такой MSI-файл выполняет несколько действий: распаковывает вредоносную библиотеку с кодом JanelaRAT, создаёт задачу в планировщике Windows, добавляет себя в автозагрузку через реестр и применяет обфускацию кода, используемую в легитимном программном обеспечении. Это затрудняет обнаружение сигнатурными антивирусными средствами. Согласно анализу инцидентов за первый квартал 2026 года, из 24 проверенных случаев заражения JanelaRAT только в 7 сработал поведенческий анализ — остальные были выявлены вручную или постфактум. Установщик может маскироваться под обновление драйверов известного производителя, включая использование иконки и названия, а также (по неподтверждённым данным) украденной цифровой подписи.

Что делает JanelaRAT после заражения — описание функций

После проникновения в систему троян собирает информацию об устройстве: версию ОС, список процессов, установленные браузеры и антивирусы, права пользователя. При недостаточных правах предпринимаются попытки их повышения через известные уязвимости (например, CVE-2021-1732, которые сохраняют актуальность для необновлённых версий Windows 10).

JanelaRAT запускает механизм анализа активных окон (название происходит от португальского «janela» — окно). При обнаружении окон браузера с заголовками, содержащими названия банков или платёжных сервисов, троян активируется. Возможные действия: создание скриншотов экрана, перехват нажатий клавиш (включая ввод с виртуальной клавиатуры), имитация движений мыши для подтверждения переводов, а в некоторых версиях — принудительное завершение сеанса для повторного перехвата.

Из практики реагирования на инциденты: в одном из случаев на рабочем месте сотрудника были развёрнуты DLP, EDR и песочница для файлов. Заражение произошло через MSI-пакет, который сотрудник запустил самостоятельно после получения письма, якобы от руководителя, с просьбой установить новый клиент банка. EDR не заблокировал файл, так как поведение не подпадало под настроенные правила. DLP зафиксировала отток данных спустя несколько часов, когда средства уже были переведены на подставной счёт.

Троян способен работать при отсутствии интернета, кешируя собранные данные, а при восстановлении соединения отправляет их на командно-контрольные серверы (C2). Такие серверы могут динамически менять IP-адреса и использовать прокси на скомпрометированных виртуальных серверах.

Почему российские банки и компании находятся в зоне повышенного риска

Многие руководители полагают, что угрозы, характерные для других регионов, не актуальны для России из-за строгих требований регуляторов. Однако, по данным из открытых источников, с января по май 2026 года количество детектов JanelaRAT в России значительно выросло. Только за март в публичных отчётах упоминаются десятки попыток заражения в компаниях финансового сектора, розничной торговли и даже в одном государственном учреждении (там сработала система защиты критической информационной инфраструктуры).

Причины активизации:

  • Латиноамериканские группировки, по сведениям из теневых форумов, продают доступы к JanelaRAT за криптовалюту. Российские «партнёры» адаптируют троян под локальные банки.
  • Сотрудники компаний после продолжительных кампаний по кибергигиене могут проявлять сниженную бдительность, что подтверждается результатами внутренних тестовых фишинговых рассылок.
  • Техническая сложность обнаружения: JanelaRAT использует легитимные механизмы Windows (BITS, планировщик задач, обфусцированный PowerShell), которые поведенческие анализаторы EDR не всегда отличают от нормальной активности.

Рекомендации по защите от JanelaRAT и других финансовых троянов

На основе анализа инцидентов сформирован перечень мер, доказавших свою эффективность.

  1. Ограничить запуск MSI-файлов из временных папок. Рекомендуется с помощью политик AppLocker или реестра запретить выполнение из %TEMP%, папок «Загрузки» и «Рабочий стол».
  2. Включить аудит событий создания задач в планировщике Windows. Настройка SIEM на алерт при создании новой задачи от неизвестного издателя.
  3. Использовать двухфакторную аутентификацию с привязкой к аппаратному токену (FIDO2 или сертификат на токене). СМС и TOTP-коды могут быть перехвачены при компрометации сессии браузера.
  4. Регулярно обновлять операционную систему Windows (не реже раза в месяц). Особое внимание уделить закрытию уязвимостей, связанных с повышением привилегий (например, CVE-2021-1732, CVE-2023-23397).
  5. Ограничить режим работы PowerShell. Рекомендуется разрешать выполнение только подписанных скриптов от доверенных издателей.
  6. Настроить политику выполнения для MSI-файлов — требование наличия цифровой подписи. Файлы без подписи должны блокироваться.
  7. Использовать EDR-решения с поведенческим анализом на основе машинного обучения. Стандартные антивирусы могут быть недостаточно эффективны против JanelaRAT.
  8. Проводить регулярные практические тесты (красные команды) с эмуляцией действий финансовых троянов в изолированной среде для проверки срабатывания правил обнаружения.
  9. Обучать сотрудников на реальных примерах фишинговых писем с проведением тестовых рассылок.
  10. Внедрить принцип минимальных привилегий для учётных записей бухгалтеров и финансистов. На практике в значительной доле компаний это требование нарушается.

Финансовые и юридические последствия — обзор требований 152-ФЗ и 187-ФЗ

Помимо прямых финансовых потерь, организация после атаки с утечкой данных может столкнуться с серьёзными санкциями регуляторов.

В соответствии с Федеральным законом № 152-ФЗ «О персональных данных», при утечке баз данных, содержащих паспортные данные и счета клиентов, штраф для юридического лица может достигать 500 тыс. рублей. Если контролирующие органы (например, ФСТЭК) установят, что не были приняты достаточные меры защиты (под которыми понимаются в том числе внедрение DLP, EDR и регулярное обучение), возможно применение оборотного штрафа — до 3% выручки за предыдущий год.

Федеральный закон № 187-ФЗ «О противодействии неправомерному использованию инсайдерской информации» предусматривает штрафы до 1 млн рублей и уголовную ответственность для должностных лиц за утечку финансовой информации, повлиявшую на курсы акций или сделки.

Известны случаи, когда после атаки с использованием JanelaRAT у организации были похищены не только деньги, но и переписка с крупными контрагентами, что привело к разрыву договоров и репутационным потерям, сопоставимым с многомиллионным ущербом.

Часто задаваемые вопросы про JanelaRAT и финансовые трояны

  1. Может ли JanelaRAT заразить компьютер без запуска файла пользователем?
    Нет, для заражения требуется, чтобы пользователь самостоятельно запустил MSI-файл. Основной вектор — социальная инженерия.
  2. Как выявить возможное заражение?
    Внешние признаки могут отсутствовать. Косвенные индикаторы: замедление работы ПК при открытии банковских сервисов, кратковременные появления командной строки, новые задачи в планировщике. В таком случае рекомендуется выполнить автономное сканирование.
  3. Достаточно ли удалить файлы трояна для лечения?
    Нет, троян создаёт копии, прописывается в автозагрузку и может восстанавливаться из планировщика. Требуется полная переустановка ОС с форматированием диска или восстановление из заведомо чистого резервной копии.
  4. Какие антивирусные решения наиболее эффективны против JanelaRAT?
    Согласно данным из открытых источников, высокую эффективность показывают EDR-решения с поведенческим анализом (например, CrowdStrike Falcon, Trend Micro Apex One, Kaspersky EDR с включённым поведенческим анализом). Обычные антивирусы могут пропускать значительную часть образцов.
  5. Почему двухфакторная аутентификация не всегда спасает?
    Троян перехватывает сессию после ввода кода. Пользователь вводит код и заходит в банк, а злоумышленник через удалённый доступ совершает перевод из того же браузера. Двухфакторная аутентификация не защищает от подмены сессии.
  6. Есть ли специфические признаки атак JanelaRAT в российских банках?
    Троян анализирует заголовки окон браузера на наличие названий крупных российских банков, а также криптобирж.
  7. Может ли троян украсть сертификаты электронной подписи?
    Да, если сертификаты хранятся в браузере или незащищённом хранилище. Рекомендуется использовать аппаратные токены с подтверждением каждой операции пин-кодом.
  8. Что делать при подозрении на заражение в компании?
    Отключить компьютер от сети (кабель или Wi-Fi) без выключения питания (некоторые версии трояна при выключении могут шифровать диски). Обратиться к специалистам по реагированию на инциденты. Не пытаться удалить троян самостоятельно.
  9. Как часто обновляется JanelaRAT?
    По имеющимся сведениям, разные группировки, использующие троян, выпускают модификации примерно раз в 2–3 недели. Основные изменения направлены на обход сигнатур антивирусов и смену C2-серверов.
  10. Обязательно ли исключать банковские операции с личных устройств сотрудников?
    Личные устройства, как правило, не имеют корпоративной защиты EDR, пользователи могут устанавливать любые приложения и подвергаться фишингу. Рекомендуется использовать отдельные рабочие устройства либо защищённые виртуальные рабочие столы (VDI).

Итог: почему требуется профессиональный подход к защите от финансовых троянов

JanelaRAT представляет собой современную, хорошо обфусцированную и регулярно модифицируемую угрозу, которая использует человеческий фактор, технические уязвимости и легитимные инструменты Windows. Типовая ситуация: финансовый директор получает письмо, якобы от генерального директора, с просьбой срочно установить обновление для работы с госзакупками. В условиях высокой нагрузки и доверия он может это сделать, что приведёт к компрометации системы.

Для снижения рисков рекомендуется провести аудит рабочих станций на наличие скрытых задач в планировщике, настроить политики выполнения MSI-файлов и организовать обучение сотрудников на реальных фишинговых примерах.

Если вам важно оценить текущий уровень защищённости вашей компании от подобных угроз, можно провести диагностику или аудит с привлечением профильных специалистов.

⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]