Rabattilbud med flere licenser
Trusseldatabase Malware Banana RAT

Banana RAT

Med Mezo i Malware, Fjernadministrationsværktøjer
Oversæt til:

Banana RAT er en sofistikeret bankfjerntilgangstrojaner (RAT), der er udviklet specifikt til at målrette brugere i Brasilien. Sikkerhedsforskere tilskriver kampagnen trusselsgruppen SHADOW-WATER-063, som er tæt forbundet med Brasiliens berygtede Tetrade-bankmalwareøkosystem. Dette bredere økosystem omfatter allerede velkendte malwarefamilier som Grandoreiro, Mekotio, Casbaneiro, Guildma og CHAVECLOAK.

Malwaren giver angribere omfattende kontrol over inficerede systemer, hvilket muliggør skærmovervågning i realtid, manipulation af tastatur og mus, logføring af tastetryk, aflytning af udklipsholder og implementering af falske bank- eller Windows Update-skærme, der er designet til at skjule svigagtig økonomisk aktivitet. Banana RAT er stærkt fokuseret på at kompromittere online banksessioner og omdirigere finansielle transaktioner uden at offeret bemærker det.

Infektionskæde og undvigelsestaktikker

Ofre bliver ofte narret til at køre en ondsindet batchfil med navnet Consultar_NF-e.bat. Filen er forklædt som en legitim brasiliansk elektronisk faktura kendt som en NF-e (Nota Fiscal Eletrônica), et format, der er bredt anerkendt af virksomheder i hele Brasilien. Distribution sker typisk via WhatsApp-beskeder, phishing-kampagner eller ondsindede links, der hostes på angriberkontrollerede domæner.

Banana RAT bruger en Malware-as-a-Service-model, der er afhængig af store puljer af polymorfe nyttelaster. I stedet for at levere identiske malware-eksempler, opbevarer angriberne mellem 100 og 200 prægenererede varianter, der hver især er unikt krypteret for at undgå hash-baserede detektionsmetoder. Hver nyttelast er beskyttet af ni lag af obfuskation og krypteret med AES-256.

Når den skadelige batchfil er startet, downloader en let PowerShell-stager den krypterede anden-stage-nyttelast fra angriberens infrastruktur. Nyttelasten dekrypteres direkte i hukommelsen og udføres uden at skrive læsbar kode til disken, hvilket gør malwaren betydeligt sværere at opdage for traditionelle antivirusløsninger. For yderligere at skjule kommunikationen etablerer malwaren sin Command-and-Control (C2)-forbindelse over TCP-port 443 gennem typosquatted-domæner, der imiterer legitim Microsoft CDN-infrastruktur. Trafikken krypteres med AES-256-CBC og godkendes ved hjælp af HMAC-tokens, der er knyttet til den inficerede maskines GUID og MAC-adresse, hvilket sikrer, at kun autoriserede operatører kan interagere med den kompromitterede enhed.

Fuld fjernbetjening og bankmanipulation

Efter udførelse giver Banana RAT operatører direkte og interaktiv kontrol over det inficerede system. Angribere kan streame skrivebordet på tværs af flere skærme i realtid, simulere tastatur- og musinput og endda midlertidigt deaktivere offerets egne inputenheder, mens uautoriserede banktransaktioner udføres i baggrunden.

Malwarens overvågningsfunktioner rækker ud over fjernbetjening. En integreret keylogger registrerer løbende tastetryk i en ringbuffer, som operatører kan hente efter behov. Udklipsholderovervågning er også implementeret, hvilket giver angribere mulighed for lydløst at erstatte kopieret indhold, herunder adresser på kryptovaluta-wallets, med alternativer, der kontrolleres af trusselsaktøren.

Et vigtigt kendetegn ved Banana RAT er dets bankfokuserede overlay-system. Malwaren overvåger aktive browservinduetitler og sammenligner dem med en hardcoded liste over 16 brasilianske finansielle institutioner, herunder Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal og Banco do Brasil, samt kryptovalutabørsplatforme, der opererer i Brasilien. Når der registreres et match, kan angriberne implementere overbevisende fuldskærmsoverlays, der imiterer legitime bankportaler eller Windows Update-notifikationer og maskerer de svigagtige handlinger, der finder sted bag kulisserne.

Pix QR-kodekapring og langvarig vedvarende virkning

Banana RAT inkluderer et dedikeret delsystem, der er målrettet mod Pix, Brasiliens platform for øjeblikkelige betalinger. Ved at indlæse ZXing-stregkodebehandlingsbiblioteket under kørsel scanner malwaren offerets skærm for Pix QR-koder. Når den er opdaget, kan angriberne erstatte legitime QR-koder til betaling med falske versioner, der omdirigerer penge til konti under deres kontrol. Lignende taktikker til manipulation af QR-koder er tidligere blevet observeret i brasilianske banktrojanere som Mekotio og CHAVECLOAK, hvilket forstærker Banana RATs klassificering inden for Tetrade-malwareøkosystemet.

For at opretholde persistens opretter malwaren en skjult Windows Task Scheduler-post, der er konfigureret til at genstarte PowerShell-nyttelasten hvert minut i 9.999 dage. Den planlagte opgave udføres med skjulte vinduer og omgåede udførelsespolitikker, hvilket forhindrer synlige prompter eller konsolvinduer i at blive vist. Banana RAT kopierer også sig selv til mapper, der er designet til at ligne legitime Microsoft-diagnosticeringsstier, hvilket hjælper den med at integreres i betroede systemplaceringer og undgå tilfældig inspektion.

Primære leveringsmetoder og advarselstegn

Banana RAT-kampagner er primært afhængige af social engineering og vildledende filleveringsteknikker. Almindelige infektionsmetoder omfatter:

  • Phishing-e-mails med falske fakturavedhæftninger eller ondsindede downloadlinks
  • WhatsApp- og chatplatformbeskeder, der indeholder forklædte NF-e-dokumenter
  • Drive-by downloads fra kompromitterede websteder og ondsindede annoncer
  • Piratkopieret software, falske softwareopdateringer og crackede applikationer
  • Ondsindede filformater såsom BAT, JavaScript, LNK-genveje, ZIP- eller RAR-arkiver, Office-dokumenter, EXE-installationsprogrammer og MSI-pakker

Indikatorer for kompromis og defensive foranstaltninger

Banana RAT er specifikt udviklet til at stjæle penge fra brasilianske bankbrugere i realtid. Kombinationen af live fjernadgang, tyveri af legitimationsoplysninger, manipulation af QR-koder og bankoverlays giver angribere mulighed for fuldt ud at kapre finansielle sessioner, samtidig med at de skjuler svigagtige transaktioner fra ofrene.

Potentielle indikatorer for kompromis omfatter:

  • Uventede planlagte opgaver konfigureret til at starte skjulte PowerShell-kommandoer
  • Mistænkelige udgående forbindelser via krypterede kanaler, der udgiver sig for at være Microsoft-infrastruktur
  • Usædvanlig mus- eller tastaturadfærd under netbanksessioner
  • Uautoriserede Pix-overførsler eller uforklarlige ændringer i kryptovaluta-wallet
  • Skjulte PowerShell-processer og unormal bankkontoaktivitet

Ethvert system, der mistænkes for infektion, bør isoleres øjeblikkeligt. Gemte bankoplysninger, indhold af udklipsholder, godkendelsestokens og oplysninger om kryptovaluta-tegnebøger bør behandles som kompromitteret, og alle tilhørende adgangskoder og økonomiske adgangsoplysninger bør nulstilles straks.

Trending

Mest sete

Indlæser...