Banana RAT

يُعدّ برنامج Banana RAT حصان طروادة متطورًا للتحكم عن بُعد في القطاع المصرفي، مصممًا خصيصًا لاستهداف المستخدمين في البرازيل. ويعزو باحثو الأمن هذه الحملة إلى مجموعة التهديد SHADOW-WATER-063، المرتبطة ارتباطًا وثيقًا بنظام Tetrade سيئ السمعة للبرمجيات الخبيثة المصرفية في البرازيل. ويضم هذا النظام الأوسع بالفعل عائلات برمجيات خبيثة معروفة مثل Grandoreiro وMekotio وCasbaneiro وGuildma وCHAVECLOAK.

يمنح هذا البرنامج الخبيث المهاجمين سيطرة واسعة على الأنظمة المصابة، مما يتيح مراقبة الشاشة في الوقت الفعلي، والتلاعب بلوحة المفاتيح والماوس، وتسجيل ضغطات المفاتيح، واعتراض الحافظة، ونشر شاشات مزيفة خاصة بالخدمات المصرفية أو تحديثات ويندوز مصممة لإخفاء أنشطة مالية احتيالية. ويركز برنامج Banana RAT بشكل كبير على اختراق جلسات الخدمات المصرفية عبر الإنترنت وإعادة توجيه المعاملات المالية دون أن يلاحظ الضحية ذلك.

سلسلة العدوى وتكتيكات التهرب

يُخدع الضحايا عادةً لتشغيل ملف دفعي خبيث يُدعى Consultar_NF-e.bat. يُخفي هذا الملف نفسه على هيئة فاتورة إلكترونية برازيلية شرعية تُعرف باسم NF-e (Nota Fiscal Eletrônica)، وهو تنسيق معترف به على نطاق واسع من قبل الشركات في جميع أنحاء البرازيل. ويتم توزيعه عادةً عبر رسائل واتساب، أو حملات التصيد الاحتيالي، أو روابط خبيثة مُستضافة على نطاقات يتحكم بها المهاجمون.

يعتمد برنامج Banana RAT على نموذج البرمجيات الخبيثة كخدمة، والذي يعتمد بدوره على مجموعات كبيرة من الحمولات متعددة الأشكال. فبدلاً من تقديم عينات برمجيات خبيثة متطابقة، يحتفظ المهاجمون بما بين 100 و200 نسخة مُولّدة مسبقًا، كل منها مُشفر بطريقة فريدة لتجنب أساليب الكشف القائمة على التجزئة. كل حمولة محمية بتسع طبقات من التمويه ومُشفّرة باستخدام خوارزمية AES-256.

بمجرد تشغيل ملف الدفعة الخبيث، يقوم برنامج PowerShell خفيف الوزن بتنزيل حمولة المرحلة الثانية المشفرة من بنية المهاجم التحتية. تُفك تشفير الحمولة مباشرةً في الذاكرة وتُنفذ دون كتابة أي تعليمات برمجية قابلة للقراءة على القرص، مما يجعل اكتشاف البرمجية الخبيثة أكثر صعوبةً بكثير بالنسبة لحلول مكافحة الفيروسات التقليدية. ولزيادة إخفاء الاتصالات، تُنشئ البرمجية الخبيثة اتصال التحكم والسيطرة (C2) عبر منفذ TCP 443 من خلال نطاقات مُنتحلة تُحاكي بنية شبكة توصيل المحتوى (CDN) الشرعية لشركة مايكروسوفت. تُشفّر حركة البيانات باستخدام AES-256-CBC وتُصادق عليها باستخدام رموز HMAC المرتبطة بمعرف الجهاز المُصاب وعنوان MAC الخاص به، مما يضمن أن المشغلين المُصرّح لهم فقط هم من يمكنهم التفاعل مع الجهاز المُخترق.

التحكم الكامل عن بعد والتلاعب المصرفي

بعد التنفيذ، يمنح برنامج Banana RAT الخبيث المشغلين تحكمًا مباشرًا وتفاعليًا في النظام المصاب. يستطيع المهاجمون بث سطح المكتب على شاشات متعددة في الوقت الفعلي، ومحاكاة إدخال لوحة المفاتيح والماوس، بل وحتى تعطيل أجهزة الإدخال الخاصة بالضحية مؤقتًا أثناء إجراء معاملات مصرفية غير مصرح بها في الخلفية.

تتجاوز قدرات المراقبة للبرمجية الخبيثة مجرد التحكم عن بُعد. إذ يقوم مسجل ضغطات المفاتيح المدمج بتسجيل ضغطات المفاتيح باستمرار في مخزن مؤقت يمكن للمشغلين استرجاعه عند الطلب. كما تتضمن البرمجية مراقبة الحافظة، مما يسمح للمهاجمين باستبدال المحتوى المنسوخ، بما في ذلك عناوين محافظ العملات المشفرة، بمحتوى بديل يتحكم فيه المهاجمون.

من أبرز سمات برنامج Banana RAT الخبيث نظام التراكب المصرفي الخاص به. يراقب البرنامج عناوين نوافذ المتصفح النشطة ويقارنها بقائمة مُبرمجة مسبقًا تضم 16 مؤسسة مالية برازيلية، من بينها Itaú Unibanco وBradesco وSantander Brasil وCaixa Econômica Federal وBanco do Brasil، بالإضافة إلى منصات تداول العملات الرقمية العاملة في البرازيل. عند اكتشاف تطابق، يُمكن للمهاجمين نشر تراكبات مُقنعة تملأ الشاشة بالكامل، تُحاكي بوابات مصرفية شرعية أو إشعارات تحديثات ويندوز، لإخفاء العمليات الاحتيالية التي تجري في الخفاء.

اختراق رمز الاستجابة السريعة (QR) من Pix واستمراريته على المدى الطويل

يتضمن برنامج Banana RAT نظامًا فرعيًا مخصصًا يستهدف منصة Pix، وهي منصة الدفع الفوري البرازيلية. يقوم البرنامج الخبيث، من خلال تحميل مكتبة ZXing لمعالجة الرموز الشريطية أثناء التشغيل، بمسح شاشة الضحية بحثًا عن رموز QR الخاصة بمنصة Pix. بمجرد اكتشافها، يستطيع المهاجمون استبدال رموز QR الأصلية برموز مزيفة تُحوّل الأموال إلى حسابات تحت سيطرتهم. وقد لوحظت أساليب مماثلة للتلاعب برموز QR سابقًا في برامج خبيثة مصرفية برازيلية مثل Mekotio وCHAVECLOAK، مما يُعزز تصنيف Banana RAT ضمن منظومة برامج Tetrade الخبيثة.

للحفاظ على استمراريته، يُنشئ البرنامج الخبيث إدخالًا مخفيًا في مُجدول مهام ويندوز، مُهيأً لإعادة تشغيل حمولة PowerShell كل دقيقة لمدة 9999 يومًا. تُنفَّذ المهمة المُجدولة بنوافذ مخفية، متجاوزةً سياسات التنفيذ، مما يمنع ظهور أي مطالبات أو نوافذ وحدة تحكم مرئية. كما ينسخ برنامج Banana RAT نفسه إلى مجلدات مُصممة لتُشبه مسارات التشخيص الرسمية لمايكروسوفت، مما يُساعده على الاندماج في مواقع النظام الموثوقة وتجنب الفحص العرضي.

طرق التوصيل الأساسية وعلامات التحذير

تعتمد حملات برامج التجسس الخبيثة من نوع Banana RAT بشكل أساسي على الهندسة الاجتماعية وتقنيات توصيل الملفات الخادعة. تشمل طرق الإصابة الشائعة ما يلي:

• رسائل البريد الإلكتروني الاحتيالية التي تحتوي على مرفقات فواتير مزيفة أو روابط تنزيل ضارة
• رسائل واتساب ومنصات الدردشة التي تحتوي على وثائق NF-e مموهة
• تنزيلات تلقائية من مواقع ويب مخترقة وإعلانات خبيثة
• البرامج المقرصنة، وتحديثات البرامج المزيفة، والتطبيقات المكركة
• تنسيقات الملفات الضارة مثل BAT، وJavaScript، واختصارات LNK، وملفات ZIP أو RAR المضغوطة، ومستندات Office، وبرامج تثبيت EXE، وحزم MSI

مؤشرات التنازل والتدابير الدفاعية

صُمم برنامج Banana RAT خصيصًا لسرقة الأموال من مستخدمي الخدمات المصرفية البرازيليين في الوقت الفعلي. يُمكّن هذا البرنامج، بفضل مزيجه من الوصول عن بُعد المباشر، وسرقة بيانات الاعتماد، والتلاعب برموز الاستجابة السريعة، وتقنيات التلاعب بالخدمات المصرفية، المهاجمين من السيطرة الكاملة على الجلسات المالية مع إخفاء المعاملات الاحتيالية عن الضحايا.

تشمل المؤشرات المحتملة للاختراق ما يلي:

• مهام مجدولة غير متوقعة تم تكوينها لتشغيل أوامر PowerShell مخفية
• اتصالات صادرة مشبوهة عبر قنوات مشفرة تنتحل صفة البنية التحتية لشركة مايكروسوفت
• سلوك غير طبيعي للماوس أو لوحة المفاتيح أثناء جلسات الخدمات المصرفية عبر الإنترنت
• عمليات نقل غير مصرح بها لعملة Pix أو تغييرات غير مبررة في محفظة العملات المشفرة
• عمليات PowerShell المخفية ونشاط الحساب المصرفي غير الطبيعي

يجب عزل أي نظام يُشتبه في إصابته فورًا. يجب التعامل مع بيانات الاعتماد المصرفية المحفوظة، ومحتويات الحافظة، ورموز المصادقة، ومعلومات محفظة العملات المشفرة على أنها مخترقة، ويجب إعادة تعيين جميع كلمات المرور وبيانات اعتماد الوصول المالي المرتبطة بها دون تأخير.