Banana RAT

Banana RAT on keerukas panganduse kaugjuurdepääsu trooja (RAT), mis on loodud spetsiaalselt Brasiilia kasutajate sihtimiseks. Turvauurijad omistavad kampaania ohugrupile SHADOW-WATER-063, mis on tihedalt seotud Brasiilia kurikuulsa Tetrade panganduse pahavara ökosüsteemiga. See laiem ökosüsteem hõlmab juba tuntud pahavara perekondi nagu Grandoreiro, Mekotio, Casbaneiro, Guildma ja CHAVECLOAK.

Pahavara annab ründajatele ulatusliku kontrolli nakatunud süsteemide üle, võimaldades reaalajas ekraani jälgimist, klaviatuuri ja hiire manipuleerimist, klahvivajutuste logimist, lõikelaua pealtkuulamist ning võltsitud pangandus- või Windows Update'i ekraanipiltide paigutamist petturliku finantstegevuse varjamiseks. Banana RAT keskendub peamiselt internetipanga seansside kahjustamisele ja finantstehingute ümbersuunamisele ilma ohvrit märkamata.

Nakkusahel ja vältimistaktika

Ohvreid petetakse tavaliselt pahatahtliku pakkfaili nimega Consultar_NF-e.bat käivitama. Fail on maskeeritud legitiimseks Brasiilia elektrooniliseks arveks, mida tuntakse kui NF-e (Nota Fiscal Eletrônica) ja mis on Brasiilia ettevõtete seas laialdaselt tunnustatud vorming. Levitamine toimub tavaliselt WhatsAppi sõnumite, andmepüügikampaaniate või ründaja kontrolli all olevatel domeenidel majutatud pahatahtlike linkide kaudu.

Banana RAT töötab teenusena pakutava pahavara mudeli abil, mis tugineb suurtele polümorfsete koormuste kogumitele. Identsete pahavara näidiste edastamise asemel hoiavad ründajad alles 100–200 eelnevalt genereeritud varianti, millest igaüks on unikaalselt segatud, et vältida räsipõhiseid tuvastusmeetodeid. Iga koormus on kaitstud üheksa hägustuskihiga ja krüpteeritud AES-256 abil.

Kui pahatahtlik partiifail on käivitatud, laadib kerge PowerShelli testimisprogramm ründaja infrastruktuurist alla krüptitud teise etapi kasuliku koormuse. Kasulik koormus dekrüpteeritakse otse mällu ja käivitatakse ilma loetavat koodi kettale kirjutamata, mistõttu on pahavara traditsiooniliste viirusetõrjelahenduste jaoks oluliselt raskem tuvastada. Sidevahendite edasiseks varjamiseks loob pahavara oma Command-and-Control (C2) ühenduse TCP-pordi 443 kaudu trükivigadega domeenide kaudu, mis jäljendavad legitiimset Microsoft CDN-i infrastruktuuri. Liiklus krüpteeritakse AES-256-CBC-ga ja autentitakse nakatunud masina GUID-i ja MAC-aadressiga lingitud HMAC-tokenite abil, tagades, et ainult volitatud operaatorid saavad nakatunud seadmega suhelda.

Täielik kaugjuhtimine ja pangamanipulatsioonid

Pärast käivitamist annab Banana RAT operaatoritele otsese ja interaktiivse kontrolli nakatunud süsteemi üle. Ründajad saavad töölauda reaalajas mitme monitori kaudu voogedastada, simuleerida klaviatuuri ja hiire sisendit ning isegi ajutiselt keelata ohvri enda sisendseadmed, samal ajal kui taustal tehakse volitamata pangatehinguid.

Pahavara jälgimisvõimalused ulatuvad kaugjuhtimisest kaugemale. Integreeritud klahvilogija salvestab pidevalt klahvivajutusi rõngaspuhvrisse, mida operaatorid saavad nõudmisel hankida. Samuti on rakendatud lõikelaua jälgimine, mis võimaldab ründajatel kopeeritud sisu, sealhulgas krüptovaluuta rahakottide aadressid, vaikselt asendada ohu tekitaja kontrollitavate alternatiividega.

Banana RATi peamine eristav omadus on selle pangandusele keskendunud kattekihtide süsteem. Pahavara jälgib aktiivsete brauseriakende pealkirju ja võrdleb neid 16 Brasiilia finantsasutuse kõvakodeeritud nimekirjaga, sealhulgas Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal ja Banco do Brasil, lisaks Brasiilias tegutsevatele krüptovaluutavahetusplatvormidele. Kui vaste tuvastatakse, saavad ründajad kasutada veenvaid täisekraanikatteid, mis jäljendavad seaduslikke pangaportaale või Windows Update'i teatisi, varjates kulisside taga toimuvaid pettusi.

Pix QR-koodi kaaperdamine ja pikaajaline püsivus

Banana RAT sisaldab spetsiaalset alamsüsteemi, mis on suunatud Brasiilia kiirmaksete platvormile Pix. Laadides ZXingi vöötkoodide töötlemise teeki käitusajal, skannib pahavara ohvri ekraanilt Pixi QR-koode. Pärast tuvastamist saavad ründajad legitiimsed QR-koodid asendada petturlike versioonidega, mis suunavad raha nende kontrolli all olevatele kontodele. Sarnaseid QR-koodide manipuleerimise taktikaid on varem täheldatud Brasiilia pangatroojalastes, näiteks Mekotio ja CHAVECLOAK, mis kinnitab Banana RAT-i klassifikatsiooni Tetrade pahavara ökosüsteemis.

Püsivuse säilitamiseks loob pahavara peidetud Windowsi ülesannete ajastaja kirje, mis on konfigureeritud PowerShelli kasuliku koormuse taaskäivitamiseks iga minuti järel 9999 päeva jooksul. Ajastatud ülesanne käivitub peidetud akendega ja möödub täitmispoliitikatest, takistades nähtavate viipade või konsooliakende ilmumist. Banana RAT kopeerib end ka kataloogidesse, mis on loodud sarnanema Microsofti legitiimsete diagnostikateedega, aidates tal sulanduda usaldusväärsetesse süsteemi asukohtadesse ja vältida juhuslikku kontrolli.

Peamised kättetoimetamisviisid ja hoiatusmärgid

Banana RAT kampaaniad tuginevad peamiselt sotsiaalsele manipuleerimisele ja petlikele failide edastamise tehnikatele. Levinumad nakatumismeetodid on järgmised:

• Õngitsuskirjad, mis sisaldavad võltsitud arvete manuseid või pahatahtlikke allalaadimislinke
• Varjatud NF-e dokumente sisaldavad WhatsAppi ja vestlusplatvormide sõnumid
• Ohustatud veebisaitidelt ja pahatahtlikest reklaamidest allalaaditavad failid
• Piraattarkvara, võltsitud tarkvarauuendused ja kräkitud rakendused
• Pahatahtlikud failivormingud, näiteks BAT, JavaScript, LNK otseteed, ZIP- või RAR-arhiivid, Office'i dokumendid, EXE-installerid ja MSI-paketid

Kompromissi ja kaitsemeetmete näitajad

Banana RAT on spetsiaalselt loodud Brasiilia pangakasutajatelt reaalajas raha varastamiseks. Selle reaalajas kaugjuurdepääsu, volituste varguse, QR-koodi manipuleerimise ja pangandusülekatte kombinatsioon võimaldab ründajatel finantsseansse täielikult kaaperdada, varjates samal ajal petturlikke tehinguid ohvrite eest.

Võimalike kompromissi näitajate hulka kuuluvad:

• Ootamatuid ajastatud ülesandeid, mis on konfigureeritud käivitama peidetud PowerShelli käske
• Kahtlased väljaminevad ühendused krüptitud kanalite kaudu, mis jäljendavad Microsofti infrastruktuuri
• Ebatavaline hiire või klaviatuuri käitumine internetipanga seansside ajal
• Volitamata Pix-ülekanded või seletamatud krüptovaluuta rahakoti muudatused
• Varjatud PowerShelli protsessid ja ebanormaalne pangakonto tegevus

Kõik nakkuskahtlusega süsteemid tuleks viivitamatult isoleerida. Salvestatud pangakonto andmeid, lõikelaua sisu, autentimismärke ja krüptovaluuta rahakoti andmeid tuleks käsitleda ohustatuna ning kõik seotud paroolid ja finantsjuurdepääsu andmed tuleks viivitamatult lähtestada.