Banana RAT

Banana RAT е сложен банков троянски кон за отдалечен достъп (RAT), проектиран специално за потребители в Бразилия. Изследователите по сигурността приписват кампанията на групата заплахи SHADOW-WATER-063, която е тясно свързана с прословутата бразилска екосистема от банков зловреден софтуер Tetrade. Тази по-широка екосистема вече включва добре познати семейства зловреден софтуер като Grandoreiro, Mekotio, Casbaneiro, Guildma и CHAVECLOAK.

Зловредният софтуер предоставя на атакуващите обширен контрол върху заразените системи, позволявайки наблюдение на екрана в реално време, манипулиране на клавиатура и мишка, регистриране на натискания на клавиши, прихващане на клипборда и разполагане на фалшиви банкови екрани или екрани за актуализация на Windows, предназначени да прикрият измамна финансова дейност. Banana RAT е силно фокусиран върху компрометиране на онлайн банкови сесии и пренасочване на финансови транзакции, без жертвата да забележи.

Верига на заразяване и тактики за избягване

Жертвите често биват подлъгвани да изпълнят злонамерен пакетен файл с име Consultar_NF-e.bat. Файлът е маскиран като легитимна бразилска електронна фактура, известна като NF-e (Nota Fiscal Eletrônica), формат, широко разпознаваем от бизнеса в цяла Бразилия. Разпространението обикновено се осъществява чрез съобщения в WhatsApp, фишинг кампании или злонамерени връзки, хоствани на контролирани от нападателите домейни.

Banana RAT работи, използвайки модел „Malware-as-a-Service“, който разчита на големи групи от полиморфни полезни товари. Вместо да предоставят идентични проби от зловреден софтуер, нападателите поддържат между 100 и 200 предварително генерирани варианта, всеки от които е уникално разбъркан, за да избегне методите за откриване, базирани на хеш. Всеки полезен товар е защитен от девет слоя обфускация и е криптиран с помощта на AES-256.

След като зловредният пакетен файл бъде стартиран, лек PowerShell stager изтегля криптирания полезен товар от втори етап от инфраструктурата на атакуващия. Полезният товар се декриптира директно в паметта и се изпълнява без записване на четлив код на диск, което прави зловредния софтуер значително по-труден за откриване от традиционните антивирусни решения. За да скрие допълнително комуникациите, зловредният софтуер установява своята Command-and-Control (C2) връзка през TCP порт 443 чрез домейни с правописни грешки, които имитират легитимна Microsoft CDN инфраструктура. Трафикът е криптиран с AES-256-CBC и удостоверен с помощта на HMAC токени, свързани с GUID и MAC адреса на заразената машина, което гарантира, че само оторизирани оператори могат да взаимодействат с компрометираното устройство.

Пълно дистанционно управление и банкови манипулации

След изпълнение, Banana RAT предоставя на операторите директен и интерактивен контрол над заразената система. Нападателите могат да стриймват изображението от работния плот на множество монитори в реално време, да симулират въвеждане от клавиатура и мишка и дори временно да деактивират входните устройства на жертвата, докато във фонов режим се извършват неоторизирани банкови транзакции.

Възможностите за наблюдение на зловредния софтуер се простират отвъд дистанционното управление. Интегриран кейлогър непрекъснато записва натисканията на клавиши в пръстенов буфер, който операторите могат да извличат при поискване. Включен е и мониторинг на клипборда, което позволява на атакуващите тихомълком да заменят копирано съдържание, включително адреси на портфейли с криптовалута, с алтернативи, контролирани от злонамерения злонамерен персонаж.

Основна отличителна черта на Banana RAT е неговата система за наслагване, фокусирана върху банковото дело. Зловредният софтуер следи заглавията на активните прозорци на браузъра и ги сравнява с твърдо кодиран списък от 16 бразилски финансови институции, включително Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal и Banco do Brasil, както и платформи за обмен на криптовалути, работещи в Бразилия. Когато бъде открито съвпадение, нападателите могат да разположат убедителни наслагвания на цял екран, които имитират легитимни банкови портали или известия от Windows Update, маскирайки измамните действия, извършвани зад кулисите.

Отвличане на QR код на Pix и дългосрочна устойчивост

Banana RAT включва специална подсистема, насочена към Pix, бразилската платформа за незабавни плащания. Чрез зареждане на библиотеката за обработка на баркодове ZXing по време на изпълнение, зловредният софтуер сканира екрана на жертвата за QR кодове на Pix. След като бъдат открити, нападателите могат да заменят легитимните QR кодове за плащания с измамни версии, които пренасочват средства към сметки под техен контрол. Подобни тактики за манипулиране на QR кодове са били наблюдавани преди това в бразилски банкови троянци като Mekotio и CHAVECLOAK, което затвърждава класификацията на Banana RAT в екосистемата на зловредния софтуер Tetrade.

За да поддържа постоянство, зловредният софтуер създава скрит запис в планировчика на задачите на Windows, конфигуриран да рестартира полезния товар на PowerShell всяка минута в продължение на 9 999 дни. Планираната задача се изпълнява със скрити прозорци и заобикаляне на правилата за изпълнение, предотвратявайки появата на видими подкани или прозорци на конзолата. Banana RAT също така се копира в директории, проектирани да наподобяват легитимни диагностични пътища на Microsoft, което му помага да се слее с надеждни системни местоположения и да избегне случайна проверка.

Основни методи за доставка и предупредителни знаци

Кампаниите Banana RAT разчитат предимно на социално инженерство и измамни техники за доставяне на файлове. Често срещани методи за заразяване включват:

• Фишинг имейли, съдържащи фалшиви прикачени файлове към фактури или злонамерени връзки за изтегляне
• Съобщения в WhatsApp и чат платформи, съдържащи прикрити NF-e документи
• Изтегляния от компрометирани уебсайтове и злонамерени реклами
• Пиратски софтуер, фалшиви софтуерни актуализации и кракнати приложения
• Злонамерени файлови формати като BAT, JavaScript, LNK преки пътища, ZIP или RAR архиви, Office документи, EXE инсталатори и MSI пакети

Индикатори за компромис и защитни мерки

Banana RAT е специално разработена за кражба на пари от бразилски банкови потребители в реално време. Комбинацията от отдалечен достъп на живо, кражба на идентификационни данни, манипулиране на QR кодове и банкови наслагвания позволява на нападателите напълно да отвлекат финансови сесии, като същевременно прикриват измамни транзакции от жертвите.

Потенциалните индикатори за компрометиране включват:

• Неочаквани планирани задачи, конфигурирани да стартират скрити PowerShell команди
• Подозрителни изходящи връзки през криптирани канали, представящи се за инфраструктура на Microsoft
• Необичайно поведение на мишката или клавиатурата по време на онлайн банкови сесии
• Неоторизирани Pix преводи или необясними промени в портфейла с криптовалута
• Скрити PowerShell процеси и необичайна активност в банковите сметки

Всяка система, за която се подозира, че е заразена, трябва да бъде незабавно изолирана. Запазените банкови данни, съдържанието на клипборда, токените за удостоверяване и информацията за портфейлите с криптовалута трябва да се третират като компрометирани, а всички свързани пароли и данни за достъп до финансови средства трябва да бъдат нулирани незабавно.