Μπανάνα RAT

Το Banana RAT είναι ένα εξελιγμένο τραπεζικό Trojan απομακρυσμένης πρόσβασης (RAT) που έχει σχεδιαστεί ειδικά για να στοχεύει χρήστες στη Βραζιλία. Οι ερευνητές ασφαλείας αποδίδουν την καμπάνια στην ομάδα απειλών SHADOW-WATER-063, η οποία συνδέεται στενά με το διαβόητο οικοσύστημα κακόβουλου λογισμικού τραπεζών Tetrade της Βραζιλίας. Αυτό το ευρύτερο οικοσύστημα περιλαμβάνει ήδη γνωστές οικογένειες κακόβουλου λογισμικού όπως τα Grandoreiro, Mekotio, Casbaneiro, Guildma και CHAVECLOAK.

Το κακόβουλο λογισμικό παρέχει στους εισβολείς εκτεταμένο έλεγχο των μολυσμένων συστημάτων, επιτρέποντας την παρακολούθηση της οθόνης σε πραγματικό χρόνο, τον χειρισμό του πληκτρολογίου και του ποντικιού, την καταγραφή των πλήκτρων, την υποκλοπή στο πρόχειρο και την ανάπτυξη ψεύτικων τραπεζικών οθονών ή οθονών του Windows Update που έχουν σχεδιαστεί για να αποκρύψουν δόλιες οικονομικές δραστηριότητες. Το Banana RAT επικεντρώνεται σε μεγάλο βαθμό στην παραβίαση των συνεδριών online τραπεζικών συναλλαγών και στην ανακατεύθυνση οικονομικών συναλλαγών χωρίς να το αντιληφθεί το θύμα.

Αλυσίδα Μόλυνσης και Τακτικές Αποφυγής

Τα θύματα συχνά εξαπατώνται ώστε να εκτελέσουν ένα κακόβουλο αρχείο δέσμης με το όνομα Consultar_NF-e.bat. Το αρχείο είναι μεταμφιεσμένο σε ένα νόμιμο βραζιλιάνικο ηλεκτρονικό τιμολόγιο γνωστό ως NF-e (Nota Fiscal Eletrônica), μια μορφή που αναγνωρίζεται ευρέως από επιχειρήσεις σε όλη τη Βραζιλία. Η διανομή γίνεται συνήθως μέσω μηνυμάτων WhatsApp, καμπανιών ηλεκτρονικού "ψαρέματος" (phishing) ή κακόβουλων συνδέσμων που φιλοξενούνται σε τομείς που ελέγχονται από εισβολείς.

Το Banana RAT λειτουργεί χρησιμοποιώντας ένα μοντέλο Malware-as-a-Service που βασίζεται σε μεγάλες ομάδες πολυμορφικών ωφέλιμων φορτίων. Αντί να παρέχουν πανομοιότυπα δείγματα κακόβουλου λογισμικού, οι εισβολείς διατηρούν μεταξύ 100 και 200 προ-δημιουργημένων παραλλαγών, καθεμία από τις οποίες έχει κωδικοποιηθεί μοναδικά για να αποφεύγει τις μεθόδους ανίχνευσης που βασίζονται σε hash. Κάθε ωφέλιμο φορτίο προστατεύεται από εννέα επίπεδα συσκότισης και κρυπτογραφείται χρησιμοποιώντας AES-256.

Μόλις ξεκινήσει το κακόβουλο αρχείο δέσμης, ένα ελαφρύ πρόγραμμα stager PowerShell κατεβάζει το κρυπτογραφημένο φορτίο δεύτερου σταδίου από την υποδομή του εισβολέα. Το φορτίο αποκρυπτογραφείται απευθείας στη μνήμη και εκτελείται χωρίς την εγγραφή αναγνώσιμου κώδικα στο δίσκο, καθιστώντας το κακόβουλο λογισμικό σημαντικά πιο δύσκολο να εντοπιστεί από τις παραδοσιακές λύσεις προστασίας από ιούς. Για την περαιτέρω απόκρυψη των επικοινωνιών, το κακόβουλο λογισμικό δημιουργεί τη σύνδεση Command-and-Control (C2) μέσω της θύρας TCP 443 μέσω typosquatted domains που μιμούνται τη νόμιμη υποδομή Microsoft CDN. Η κίνηση κρυπτογραφείται με AES-256-CBC και ελέγχεται με χρήση διακριτικών HMAC που συνδέονται με το GUID και τη διεύθυνση MAC του μολυσμένου μηχανήματος, διασφαλίζοντας ότι μόνο εξουσιοδοτημένοι χειριστές μπορούν να αλληλεπιδράσουν με την παραβιασμένη συσκευή.

Πλήρης τηλεχειρισμός και χειρισμός τραπεζικών συναλλαγών

Μετά την εκτέλεση, το Banana RAT παρέχει στους χειριστές άμεσο και διαδραστικό έλεγχο του μολυσμένου συστήματος. Οι εισβολείς μπορούν να μεταδώσουν την επιφάνεια εργασίας σε πολλαπλές οθόνες σε πραγματικό χρόνο, να προσομοιώσουν την είσοδο δεδομένων από το πληκτρολόγιο και το ποντίκι, ακόμη και να απενεργοποιήσουν προσωρινά τις συσκευές εισόδου του θύματος, ενώ εκτελούνται μη εξουσιοδοτημένες τραπεζικές συναλλαγές στο παρασκήνιο.

Οι δυνατότητες επιτήρησης του κακόβουλου λογισμικού εκτείνονται πέρα από τον τηλεχειρισμό. Ένα ενσωματωμένο keylogger καταγράφει συνεχώς τις πληκτρολογήσεις σε ένα ring buffer που οι χειριστές μπορούν να ανακτήσουν κατ' απαίτηση. Υλοποιείται επίσης παρακολούθηση σε πρόχειρο, επιτρέποντας στους εισβολείς να αντικαθιστούν σιωπηλά το αντιγραμμένο περιεχόμενο, συμπεριλαμβανομένων των διευθύνσεων πορτοφολιών κρυπτονομισμάτων, με εναλλακτικές λύσεις που ελέγχονται από τον απειλητικό παράγοντα.

Ένα σημαντικό διακριτικό χαρακτηριστικό του Banana RAT είναι το σύστημα επικάλυψης που εστιάζει στις τραπεζικές συναλλαγές. Το κακόβουλο λογισμικό παρακολουθεί τους ενεργούς τίτλους παραθύρων του προγράμματος περιήγησης και τους συγκρίνει με μια λίστα 16 βραζιλιάνικων χρηματοπιστωτικών ιδρυμάτων, συμπεριλαμβανομένων των Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal και Banco do Brasil, καθώς και με πλατφόρμες ανταλλαγής κρυπτονομισμάτων που λειτουργούν στη Βραζιλία. Όταν εντοπιστεί μια αντιστοιχία, οι εισβολείς μπορούν να αναπτύξουν πειστικές επικαλύψεις πλήρους οθόνης που μιμούνται νόμιμες τραπεζικές πύλες ή ειδοποιήσεις του Windows Update, καλύπτοντας τις δόλιες ενέργειες που λαμβάνουν χώρα στο παρασκήνιο.

Παραβίαση κωδικών QR Pix και μακροπρόθεσμη επιμονή

Το Banana RAT περιλαμβάνει ένα ειδικό υποσύστημα που στοχεύει την Pix, την πλατφόρμα άμεσων πληρωμών της Βραζιλίας. Φορτώνοντας τη βιβλιοθήκη επεξεργασίας γραμμωτού κώδικα ZXing κατά τον χρόνο εκτέλεσης, το κακόβουλο λογισμικό σαρώνει την οθόνη του θύματος για κωδικούς QR Pix. Μόλις εντοπιστεί, οι εισβολείς μπορούν να αντικαταστήσουν τους νόμιμους κωδικούς QR πληρωμών με δόλιες εκδόσεις που ανακατευθύνουν τα χρήματα σε λογαριασμούς που βρίσκονται υπό τον έλεγχό τους. Παρόμοιες τακτικές χειραγώγησης κωδικών QR έχουν παρατηρηθεί προηγουμένως σε βραζιλιάνικα τραπεζικά trojan όπως το Mekotio και το CHAVECLOAK, ενισχύοντας την ταξινόμηση του Banana RAT στο οικοσύστημα κακόβουλου λογισμικού Tetrade.

Για να διατηρήσει την επιμονή του, το κακόβουλο λογισμικό δημιουργεί μια κρυφή καταχώρηση του Χρονοδιαγράμματος Εργασιών των Windows, η οποία έχει ρυθμιστεί ώστε να επανεκκινεί το ωφέλιμο φορτίο του PowerShell κάθε λεπτό για 9.999 ημέρες. Η προγραμματισμένη εργασία εκτελείται με κρυφά παράθυρα και παρακάμπτοντας τις πολιτικές εκτέλεσης, αποτρέποντας την εμφάνιση ορατών μηνυμάτων ή παραθύρων κονσόλας. Το Banana RAT αντιγράφει επίσης τον εαυτό του σε καταλόγους που έχουν σχεδιαστεί για να μοιάζουν με νόμιμες διαγνωστικές διαδρομές της Microsoft, βοηθώντας το να ενσωματωθεί σε αξιόπιστες τοποθεσίες συστήματος και να αποφύγει τον τυχαίο έλεγχο.

Κύριες μέθοδοι παράδοσης και προειδοποιητικά σημάδια

Οι καμπάνιες Banana RAT βασίζονται κυρίως σε τεχνικές κοινωνικής μηχανικής και παραπλανητικής παράδοσης αρχείων. Οι συνήθεις μέθοδοι μόλυνσης περιλαμβάνουν:

• Ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) που περιέχουν πλαστά συνημμένα τιμολογίων ή κακόβουλους συνδέσμους λήψης
• Μηνύματα WhatsApp και πλατφορμών συνομιλίας που περιέχουν συγκαλυμμένα έγγραφα NF-e
• Λήψεις από παραβιασμένους ιστότοπους και κακόβουλες διαφημίσεις
• Πειρατικό λογισμικό, ψεύτικες ενημερώσεις λογισμικού και παραβιασμένες εφαρμογές
• Κακόβουλες μορφές αρχείων όπως BAT, JavaScript, συντομεύσεις LNK, αρχεία ZIP ή RAR, έγγραφα του Office, προγράμματα εγκατάστασης EXE και πακέτα MSI

Δείκτες Συμβιβασμού και Αμυντικών Μέτρων

Το Banana RAT έχει σχεδιαστεί ειδικά για να κλέβει χρήματα από Βραζιλιάνους χρήστες τραπεζικών συναλλαγών σε πραγματικό χρόνο. Ο συνδυασμός ζωντανής απομακρυσμένης πρόσβασης, κλοπής διαπιστευτηρίων, χειραγώγησης κωδικών QR και επικαλύψεων τραπεζικών συναλλαγών επιτρέπει στους εισβολείς να παραβιάσουν πλήρως τις οικονομικές συνεδρίες, αποκρύπτοντας παράλληλα δόλιες συναλλαγές από τα θύματα.

Πιθανοί δείκτες συμβιβασμού περιλαμβάνουν:

• Μη αναμενόμενες προγραμματισμένες εργασίες που έχουν ρυθμιστεί για την εκκίνηση κρυφών εντολών PowerShell
• Ύποπτες εξερχόμενες συνδέσεις μέσω κρυπτογραφημένων καναλιών που μιμούνται την υποδομή της Microsoft
• Ασυνήθιστη συμπεριφορά ποντικιού ή πληκτρολογίου κατά τη διάρκεια των συνεδριών ηλεκτρονικής τραπεζικής
• Μη εξουσιοδοτημένες μεταφορές Pix ή ανεξήγητες αλλαγές σε πορτοφόλι κρυπτονομισμάτων
• Κρυφές διεργασίες PowerShell και μη φυσιολογική δραστηριότητα τραπεζικού λογαριασμού

Οποιοδήποτε σύστημα είναι ύποπτο για μόλυνση θα πρέπει να απομονώνεται αμέσως. Τα αποθηκευμένα τραπεζικά διαπιστευτήρια, το περιεχόμενο του προχείρου, τα διακριτικά ελέγχου ταυτότητας και οι πληροφορίες του πορτοφολιού κρυπτονομισμάτων θα πρέπει να αντιμετωπίζονται ως παραβιασμένα και όλοι οι σχετικοί κωδικοί πρόσβασης και τα διαπιστευτήρια οικονομικής πρόσβασης θα πρέπει να επαναφέρονται χωρίς καθυστέρηση.