Slevová nabídka pro více licencí
Databáze hrozeb Malware Banana RAT

Banana RAT

V roce Mezo v roce Malware, Nástroje pro vzdálenou správu
Přeložit do:

Banana RAT je sofistikovaný bankovní trojský kůň pro vzdálený přístup (RAT) navržený speciálně pro cílení na uživatele v Brazílii. Bezpečnostní experti připisují kampaň skupině hrozeb SHADOW-WATER-063, která je úzce spojena s brazilským nechvalně známým ekosystémem bankovního malwaru Tetrade. Tento širší ekosystém již zahrnuje známé rodiny malwaru, jako jsou Grandoreiro, Mekotio, Casbaneiro, Guildma a CHAVECLOAK.

Malware poskytuje útočníkům rozsáhlou kontrolu nad infikovanými systémy, umožňuje monitorování obrazovky v reálném čase, manipulaci s klávesnicí a myší, zaznamenávání stisků kláves, zachycování schránky a nasazení falešných bankovních obrazovek nebo obrazovek aktualizací systému Windows, jejichž cílem je zakrýt podvodnou finanční aktivitu. Banana RAT se silně zaměřuje na ohrožení online bankovních relací a přesměrování finančních transakcí, aniž by si toho oběť všimla.

Řetězec infekce a taktiky úniku

Oběti jsou obvykle oklamány ke spuštění škodlivého dávkového souboru s názvem Consultar_NF-e.bat. Soubor je maskován jako legitimní brazilská elektronická faktura známá jako NF-e (Nota Fiscal Eletrônica), což je formát široce uznávaný podniky v celé Brazílii. Distribuce obvykle probíhá prostřednictvím zpráv WhatsApp, phishingových kampaní nebo škodlivých odkazů hostovaných na doménách ovládaných útočníkem.

Banana RAT funguje na základě modelu Malware-as-a-Service, který se spoléhá na velké množství polymorfních datových částí. Místo poskytování identických vzorků malwaru útočníci udržují 100 až 200 předem vygenerovaných variant, z nichž každá je unikátně zašifrována, aby se vyhnula detekčním metodám založeným na hashování. Každá datová část je chráněna devíti vrstvami obfuskace a šifrována pomocí AES-256.

Jakmile je spuštěn škodlivý dávkový soubor, odlehčený stager PowerShellu stáhne zašifrovaný datový soubor druhé fáze z infrastruktury útočníka. Datový soubor je dešifrován přímo v paměti a spuštěn bez zápisu čitelného kódu na disk, což malware výrazně ztěžuje detekci tradičními antivirovými řešeními. Pro další utajení komunikace malware navazuje své připojení Command-and-Control (C2) přes TCP port 443 prostřednictvím domén s překlepy, které napodobují legitimní infrastrukturu Microsoft CDN. Provoz je šifrován pomocí AES-256-CBC a ověřován pomocí tokenů HMAC propojených s GUID a MAC adresou infikovaného počítače, což zajišťuje, že s napadeným zařízením mohou interagovat pouze autorizovaní operátoři.

Plná dálková kontrola a manipulace s bankovními účty

Po spuštění poskytuje Banana RAT operátorům přímou a interaktivní kontrolu nad infikovaným systémem. Útočníci mohou streamovat plochu na více monitorů v reálném čase, simulovat vstup z klávesnice a myši a dokonce dočasně deaktivovat vstupní zařízení oběti, zatímco na pozadí probíhají neoprávněné bankovní transakce.

Sledovací schopnosti malwaru sahají nad rámec vzdáleného ovládání. Integrovaný keylogger nepřetržitě zaznamenává stisky kláves do kruhové vyrovnávací paměti, kterou mohou operátoři načíst na vyžádání. Implementováno je také monitorování schránky, které útočníkům umožňuje tiše nahradit zkopírovaný obsah, včetně adres kryptoměnových peněženek, alternativami ovládanými útočníkem.

Hlavním rozlišovacím rysem Banana RAT je jeho systém překryvů zaměřený na bankovnictví. Malware monitoruje aktivní názvy oken prohlížeče a porovnává je s pevně zakódovaným seznamem 16 brazilských finančních institucí, včetně Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal a Banco do Brasil, a dále s platformami pro směnu kryptoměn působícími v Brazílii. Po zjištění shody mohou útočníci nasadit přesvědčivé celoobrazovkové překryvy, které napodobují legitimní bankovní portály nebo oznámení Windows Update a maskují tak podvodné akce probíhající v zákulisí.

Únos QR kódu Pix a jeho dlouhodobá perzistence

Banana RAT obsahuje specializovaný subsystém zaměřený na Pix, brazilskou platformu pro okamžité platby. Načtením knihovny pro zpracování čárových kódů ZXing za běhu malware skenuje obrazovku oběti a hledá QR kódy Pix. Po detekci mohou útočníci nahradit legitimní platební QR kódy podvodnými verzemi, které přesměrují finanční prostředky na účty, které ovládají. Podobné taktiky manipulace s QR kódy byly dříve pozorovány u brazilských bankovních trojských koní, jako jsou Mekotio a CHAVECLOAK, což posiluje zařazení Banana RAT do ekosystému malwaru Tetrade.

Aby si malware udržel perzistenci, vytvoří skrytý záznam Plánovače úloh systému Windows, který je nakonfigurován tak, aby každou minutu po dobu 9 999 dnů restartoval datovou část PowerShellu. Naplánovaná úloha se spouští se skrytými okny a obchází zásady spouštění, čímž se zabraňuje zobrazování viditelných výzev nebo oken konzole. Banana RAT se také kopíruje do adresářů navržených tak, aby připomínaly legitimní diagnostické cesty společnosti Microsoft, což mu pomáhá začlenit se do důvěryhodných umístění v systému a vyhnout se běžným kontrolám.

Primární metody doručení a varovné signály

Kampaně Banana RAT se primárně spoléhají na sociální inženýrství a klamavé techniky doručování souborů. Mezi běžné metody infekce patří:

  • Phishingové e-maily s falešnými fakturami nebo škodlivými odkazy ke stažení
  • Zprávy z WhatsAppu a chatovacích platforem obsahující maskované dokumenty NF-e
  • Stahování dat z napadených webových stránek a škodlivé reklamy
  • Pirátský software, falešné aktualizace softwaru a cracknutá aplikace
  • Škodlivé formáty souborů, jako například BAT, JavaScript, zkratky LNK, archivy ZIP nebo RAR, dokumenty Office, instalační soubory EXE a balíčky MSI

Ukazatele kompromisu a obranných opatření

Banana RAT je speciálně navržen tak, aby v reálném čase kradl peníze brazilským bankovním uživatelům. Jeho kombinace vzdáleného přístupu v reálném čase, krádeže přihlašovacích údajů, manipulace s QR kódy a bankovních překrytí umožňuje útočníkům plně se zneužít finančních relací a zároveň před oběťmi skrýt podvodné transakce.

Mezi možné ukazatele kompromitace patří:

  • Neočekávané naplánované úlohy nakonfigurované ke spuštění skrytých příkazů PowerShellu
  • Podezřelá odchozí připojení přes šifrované kanály vydávající se za infrastrukturu společnosti Microsoft
  • Neobvyklé chování myši nebo klávesnice během online bankovnictví
  • Neoprávněné převody Pix nebo nevysvětlitelné změny v kryptoměnové peněžence
  • Skryté procesy PowerShellu a abnormální aktivita bankovních účtů

Jakýkoli systém podezřelý z infekce by měl být okamžitě izolován. Uložené bankovní přihlašovací údaje, obsah schránky, autentizační tokeny a informace o kryptoměnových peněženkách by měly být považovány za kompromitované a všechna související hesla a přihlašovací údaje k finančním prostředkům by měly být neprodleně resetovány.

Trendy

Aktualizace zabezpečení pro rozpoznávání...

Phishing, Spam
S neočekávanými e-maily, které vyžadují naléhavou akci, by se mělo vždy zacházet opatrně, zejména pokud obsahují varování týkající se zabezpečení účtu nebo žádosti o ověření osobních údajů. Kyberzločinci často maskují phishingové zprávy jako oficiální oznámení, aby manipulovali s příjemci a přiměli je odhalit citlivé údaje. E-maily s názvem „Aktualizace zabezpečení pro rozpoznávání...

Nejvíce shlédnuto

Načítání...