Banana RAT

Banana RAT és un troià d'accés remot (RAT) bancari sofisticat dissenyat específicament per atacar usuaris al Brasil. Els investigadors de seguretat atribueixen la campanya al grup d'amenaces SHADOW-WATER-063, que està estretament associat amb el famós ecosistema de programari maliciós bancari Tetrade del Brasil. Aquest ecosistema més ampli ja inclou famílies de programari maliciós conegudes com ara Grandoreiro, Mekotio, Casbaneiro, Guildma i CHAVECLOAK.

El programari maliciós proporciona als atacants un ampli control sobre els sistemes infectats, permetent la monitorització de la pantalla en temps real, la manipulació del teclat i el ratolí, el registre de pulsacions de tecles, la intercepció del porta-retalls i el desplegament de pantalles bancàries falses o de Windows Update dissenyades per ocultar l'activitat financera fraudulenta. Banana RAT se centra en gran mesura en comprometre les sessions de banca en línia i redirigir les transaccions financeres sense que la víctima se n'adoni.

Cadena d’infecció i tàctiques d’evasió

Les víctimes solen ser enganyades perquè executin un fitxer per lots maliciós anomenat Consultar_NF-e.bat. El fitxer està disfressat d'una factura electrònica brasilera legítima coneguda com a NF-e (Nota Fiscal Eletrônica), un format àmpliament reconegut per les empreses de tot el Brasil. La distribució normalment es produeix a través de missatges de WhatsApp, campanyes de phishing o enllaços maliciosos allotjats en dominis controlats per atacants.

Banana RAT funciona mitjançant un model de programari maliciós com a servei que es basa en grans conjunts de càrregues útils polimòrfiques. En lloc de lliurar mostres idèntiques de programari maliciós, els atacants mantenen entre 100 i 200 variants pregenerades, cadascuna codificada de manera única per evadir els mètodes de detecció basats en hash. Cada càrrega útil està protegida per nou capes d'ofuscació i xifrada amb AES-256.

Un cop s'inicia el fitxer per lots maliciós, un programador lleuger de PowerShell descarrega la càrrega útil xifrada de segona etapa de la infraestructura de l'atacant. La càrrega útil es desxifra directament a la memòria i s'executa sense escriure codi llegible al disc, cosa que fa que el programari maliciós sigui significativament més difícil de detectar per a les solucions antivirus tradicionals. Per ocultar encara més les comunicacions, el programari maliciós estableix la seva connexió de comandament i control (C2) a través del port TCP 443 a través de dominis typosquatted que imiten la infraestructura CDN legítima de Microsoft. El trànsit es xifra amb AES-256-CBC i s'autentica mitjançant tokens HMAC vinculats al GUID i l'adreça MAC de la màquina infectada, garantint que només els operadors autoritzats puguin interactuar amb el dispositiu compromès.

Control remot complet i manipulació bancària

Després de l'execució, Banana RAT atorga als operadors un control directe i interactiu sobre el sistema infectat. Els atacants poden transmetre l'escriptori a través de diversos monitors en temps real, simular l'entrada del teclat i el ratolí i fins i tot desactivar temporalment els dispositius d'entrada de la víctima mentre es realitzen transaccions bancàries no autoritzades en segon pla.

Les capacitats de vigilància del programari maliciós van més enllà del control remot. Un keylogger integrat registra contínuament les pulsacions de tecles en una memòria intermèdia que els operadors poden recuperar a demanda. També s'implementa la supervisió del porta-retalls, que permet als atacants substituir silenciosament el contingut copiat, incloses les adreces de les carteres de criptomoneda, per alternatives controlades per l'actor de l'amenaça.

Una característica distintiva important de Banana RAT és el seu sistema de superposició centrat en la banca. El programari maliciós monitoritza els títols de les finestres actives del navegador i els compara amb una llista codificada de 16 institucions financeres brasileres, com ara Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal i Banco do Brasil, juntament amb plataformes d'intercanvi de criptomonedes que operen al Brasil. Quan es detecta una coincidència, els atacants poden desplegar superposicions convincents a pantalla completa que imiten portals bancaris legítims o notificacions de Windows Update, emmascarant les accions fraudulentes que tenen lloc entre bastidors.

Segrest de codis QR de Pix i persistència a llarg termini

Banana RAT inclou un subsistema dedicat dirigit a Pix, la plataforma de pagament instantani del Brasil. En carregar la biblioteca de processament de codis de barres ZXing en temps d'execució, el programari maliciós escaneja la pantalla de la víctima a la recerca de codis QR de Pix. Un cop detectat, els atacants poden substituir els codis QR de pagament legítims per versions fraudulentes que redirigeixen els fons a comptes sota el seu control. Tàctiques similars de manipulació de codis QR s'han observat anteriorment en troians bancaris brasilers com ara Mekotio i CHAVECLOAK, cosa que reforça la classificació de Banana RAT dins de l'ecosistema de programari maliciós Tetrade.

Per mantenir la persistència, el programari maliciós crea una entrada oculta del Programador de tasques de Windows configurada per rellançar la càrrega útil de PowerShell cada minut durant 9.999 dies. La tasca programada s'executa amb finestres ocultes i polítiques d'execució omeses, cosa que impedeix que apareguin indicacions visibles o finestres de consola. Banana RAT també es copia en directoris dissenyats per semblar-se a rutes de diagnòstic legítimes de Microsoft, cosa que l'ajuda a barrejar-se amb ubicacions de sistema de confiança i evadir la inspecció casual.

Mètodes de lliurament primaris i senyals d’alerta

Les campanyes de Banana RAT es basen principalment en l'enginyeria social i tècniques enganyoses de lliurament de fitxers. Els mètodes d'infecció habituals inclouen:

• Correus electrònics de phishing amb fitxers adjunts de factures falses o enllaços de descàrrega maliciosos
• Missatges de WhatsApp i plataformes de xat que contenen documents NF-e disfressats
• Descàrregues automàtiques des de llocs web compromesos i anuncis maliciosos
• Programari pirata, actualitzacions de programari falses i aplicacions piratejades
• Formats de fitxer maliciosos com ara BAT, JavaScript, dreceres LNK, arxius ZIP o RAR, documents d'Office, instal·ladors EXE i paquets MSI

Indicadors de compromís i mesures defensives

Banana RAT està dissenyat específicament per robar diners dels usuaris de la banca brasilera en temps real. La seva combinació d'accés remot en directe, robatori de credencials, manipulació de codis QR i superposicions bancàries permet als atacants segrestar completament les sessions financeres mentre oculten transaccions fraudulentes a les víctimes.

Els possibles indicadors de compromís inclouen:

• Tasques programades inesperades configurades per iniciar ordres ocultes del PowerShell
• Connexions sortints sospitoses a través de canals xifrats que suplanten la infraestructura de Microsoft
• Comportament inusual del ratolí o del teclat durant les sessions de banca en línia
• Transferències no autoritzades de Pix o canvis inexplicables a la cartera de criptomonedes
• Processos ocults de PowerShell i activitat anormal del compte bancari

Qualsevol sistema sospitós d'infecció s'ha d'aïllar immediatament. Les credencials bancàries desades, el contingut del porta-retalls, els tokens d'autenticació i la informació del moneder de criptomonedes s'han de tractar com a compromesos, i totes les contrasenyes i credencials d'accés financer associades s'han de restablir sense demora.