قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار Banana RAT

Banana RAT

تا Mezo در بدافزار, ابزارهای مدیریت از راه دور
ترجمه به:

موز RAT یک تروجان دسترسی از راه دور بانکی (RAT) پیچیده است که به طور خاص برای هدف قرار دادن کاربران در برزیل طراحی شده است. محققان امنیتی این کمپین را به گروه تهدید SHADOW-WATER-063 نسبت می‌دهند که ارتباط نزدیکی با اکوسیستم بدافزار بانکی بدنام Tetrade برزیل دارد. این اکوسیستم گسترده‌تر در حال حاضر شامل خانواده‌های بدافزار شناخته شده‌ای مانند Grandoreiro، Mekotio، Casbaneiro، Guildma و CHAVECLOAK است.

این بدافزار کنترل گسترده‌ای بر سیستم‌های آلوده در اختیار مهاجمان قرار می‌دهد و امکان نظارت بر صفحه نمایش در لحظه، دستکاری صفحه کلید و ماوس، ثبت ضربات کلید، رهگیری کلیپ‌بورد و استقرار صفحات جعلی بانکی یا به‌روزرسانی ویندوز را برای پنهان کردن فعالیت‌های مالی جعلی فراهم می‌کند. موز RAT به شدت بر به خطر انداختن جلسات بانکی آنلاین و تغییر مسیر تراکنش‌های مالی بدون اطلاع قربانی متمرکز است.

زنجیره عفونت و تاکتیک‌های فرار

قربانیان معمولاً فریب می‌خورند تا یک فایل دسته‌ای مخرب به نام Consultar_NF-e.bat را اجرا کنند. این فایل به عنوان یک فاکتور الکترونیکی قانونی برزیلی که با نام NF-e (Nota Fiscal Eletrônica) شناخته می‌شود، پنهان شده است، فرمتی که به طور گسترده توسط مشاغل در سراسر برزیل شناخته می‌شود. توزیع معمولاً از طریق پیام‌های واتس‌اپ، کمپین‌های فیشینگ یا لینک‌های مخرب میزبانی شده در دامنه‌های تحت کنترل مهاجم انجام می‌شود.

موز RAT با استفاده از مدل بدافزار به عنوان سرویس (Malware-as-a-Service) که به مجموعه بزرگی از بارهای داده چندریختی متکی است، عمل می‌کند. مهاجمان به جای ارائه نمونه‌های بدافزار یکسان، بین ۱۰۰ تا ۲۰۰ نوع از پیش تولید شده را نگهداری می‌کنند که هر کدام به طور منحصر به فردی برای فرار از روش‌های تشخیص مبتنی بر هش، درهم‌آمیخته شده‌اند. هر بار داده توسط نه لایه مبهم‌سازی محافظت شده و با استفاده از AES-256 رمزگذاری می‌شود.

پس از اجرای فایل دسته‌ای مخرب، یک استیجر سبک PowerShell، محتوای رمزگذاری شده مرحله دوم را از زیرساخت مهاجم دانلود می‌کند. محتوای مخرب مستقیماً در حافظه رمزگشایی شده و بدون نوشتن کد قابل خواندن روی دیسک اجرا می‌شود و شناسایی بدافزار را برای راه‌حل‌های آنتی‌ویروس سنتی به طور قابل توجهی دشوارتر می‌کند. برای پنهان‌سازی بیشتر ارتباطات، این بدافزار اتصال فرماندهی و کنترل (C2) خود را از طریق پورت TCP 443 از طریق دامنه‌های typosquatted که زیرساخت CDN قانونی مایکروسافت را تقلید می‌کنند، برقرار می‌کند. ترافیک با AES-256-CBC رمزگذاری شده و با استفاده از توکن‌های HMAC مرتبط با GUID و آدرس MAC دستگاه آلوده، احراز هویت می‌شود و اطمینان حاصل می‌شود که فقط اپراتورهای مجاز می‌توانند با دستگاه آسیب‌دیده تعامل داشته باشند.

کنترل کامل از راه دور و دستکاری امور بانکی

پس از اجرا، Banana RAT به اپراتورها کنترل مستقیم و تعاملی بر سیستم آلوده اعطا می‌کند. مهاجمان می‌توانند دسکتاپ را در چندین مانیتور به صورت بلادرنگ پخش کنند، ورودی صفحه کلید و ماوس را شبیه‌سازی کنند و حتی دستگاه‌های ورودی قربانی را به طور موقت غیرفعال کنند در حالی که تراکنش‌های بانکی غیرمجاز در پس‌زمینه انجام می‌شوند.

قابلیت‌های نظارتی این بدافزار فراتر از کنترل از راه دور است. یک کی‌لاگر یکپارچه به‌طور مداوم کلیدهای فشرده‌شده را در یک بافر حلقه‌ای ثبت می‌کند که اپراتورها می‌توانند در صورت نیاز آن را بازیابی کنند. نظارت بر کلیپ‌بورد نیز پیاده‌سازی شده است و به مهاجمان اجازه می‌دهد تا به‌طور مخفیانه محتوای کپی‌شده، از جمله آدرس‌های کیف پول ارزهای دیجیتال، را با جایگزین‌هایی که توسط عامل تهدید کنترل می‌شوند، جایگزین کنند.

یکی از ویژگی‌های متمایز Banana RAT، سیستم پوششی متمرکز بر بانکداری آن است. این بدافزار، عناوین پنجره‌های فعال مرورگر را رصد می‌کند و آنها را با فهرستی از ۱۶ موسسه مالی برزیلی، از جمله Itaú Unibanco، Bradesco، Santander Brasil، Caixa Econômica Federal و Banco do Brasil، در کنار پلتفرم‌های صرافی ارز دیجیتال فعال در برزیل، مقایسه می‌کند. هنگامی که تطابقی شناسایی شود، مهاجمان می‌توانند پوشش‌های تمام صفحه قانع‌کننده‌ای را که از پورتال‌های بانکی قانونی یا اعلان‌های به‌روزرسانی ویندوز تقلید می‌کنند، مستقر کنند و اقدامات کلاهبرداری که در پشت صحنه انجام می‌شود را پنهان کنند.

ربودن کد QR پیکس و ماندگاری طولانی مدت آن

بدافزار Banana RAT شامل یک زیرسیستم اختصاصی است که Pix، پلتفرم پرداخت فوری برزیل، را هدف قرار می‌دهد. این بدافزار با بارگذاری کتابخانه پردازش بارکد ZXing در زمان اجرا، صفحه نمایش قربانی را برای یافتن کدهای QR Pix اسکن می‌کند. پس از شناسایی، مهاجمان می‌توانند کدهای QR پرداخت قانونی را با نسخه‌های جعلی جایگزین کنند که وجوه را به حساب‌های تحت کنترل خود هدایت می‌کنند. تاکتیک‌های مشابه دستکاری کد QR قبلاً در تروجان‌های بانکی برزیلی مانند Mekotio و CHAVECLOAK مشاهده شده است که طبقه‌بندی Banana RAT را در اکوسیستم بدافزار Tetrade تقویت می‌کند.

برای حفظ پایداری، این بدافزار یک ورودی پنهان در Windows Task Scheduler ایجاد می‌کند که طوری پیکربندی شده است که هر دقیقه به مدت ۹۹۹۹ روز، بار داده PowerShell را مجدداً راه‌اندازی کند. این وظیفه زمان‌بندی شده با پنجره‌های پنهان اجرا می‌شود و سیاست‌های اجرایی را دور می‌زند و از نمایش اعلان‌های قابل مشاهده یا پنجره‌های کنسول جلوگیری می‌کند. Banana RAT همچنین خود را در دایرکتوری‌هایی کپی می‌کند که برای شبیه‌سازی مسیرهای تشخیصی قانونی مایکروسافت طراحی شده‌اند و به آن کمک می‌کنند تا در مکان‌های قابل اعتماد سیستم ادغام شود و از بازرسی‌های تصادفی فرار کند.

روش‌های اولیه زایمان و علائم هشدار دهنده

کمپین‌های Banana RAT عمدتاً به مهندسی اجتماعی و تکنیک‌های فریبکارانه ارسال فایل متکی هستند. روش‌های رایج آلودگی عبارتند از:

  • ایمیل‌های فیشینگ حاوی پیوست‌های فاکتور جعلی یا لینک‌های دانلود مخرب
  • پیام‌های واتس‌اپ و پلتفرم‌های چت حاوی اسناد NF-e پنهان
  • دانلودهای ناخواسته از وب‌سایت‌های آلوده و تبلیغات مخرب
  • نرم‌افزارهای دزدی، به‌روزرسانی‌های جعلی نرم‌افزار و برنامه‌های کرک‌شده
  • فرمت‌های فایل مخرب مانند BAT، جاوا اسکریپت، میانبرهای LNK، آرشیوهای ZIP یا RAR، اسناد آفیس، نصب‌کننده‌های EXE و بسته‌های MSI

شاخص‌های سازش و اقدامات دفاعی

بدافزار Banana RAT به طور خاص برای سرقت پول از کاربران بانکی برزیلی به صورت آنی طراحی شده است. ترکیبی از دسترسی از راه دور زنده، سرقت اعتبارنامه، دستکاری کد QR و پوشش‌های بانکی به مهاجمان اجازه می‌دهد تا جلسات مالی را به طور کامل ربوده و در عین حال تراکنش‌های جعلی را از قربانیان پنهان کنند.

شاخص‌های بالقوه سازش عبارتند از:

  • وظایف برنامه‌ریزی‌شده‌ی غیرمنتظره‌ای که برای اجرای دستورات پنهان پاورشل پیکربندی شده‌اند
  • اتصالات خروجی مشکوک از طریق کانال‌های رمزگذاری‌شده که زیرساخت مایکروسافت را جعل می‌کنند
  • رفتار غیرمعمول ماوس یا صفحه کلید در طول جلسات بانکداری آنلاین
  • انتقال‌های غیرمجاز Pix یا تغییرات غیرقابل توضیح در کیف پول ارز دیجیتال
  • فرآیندهای پنهان پاورشل و فعالیت غیرعادی حساب‌های بانکی

هر سیستمی که مشکوک به آلودگی باشد باید فوراً ایزوله شود. اطلاعات بانکی ذخیره شده، محتویات کلیپ‌بورد، توکن‌های احراز هویت و اطلاعات کیف پول ارزهای دیجیتال باید به عنوان اطلاعات لو رفته در نظر گرفته شوند و تمام رمزهای عبور و اطلاعات دسترسی مالی مرتبط باید بدون تأخیر تنظیم مجدد شوند.

پرطرفدار

به‌روزرسانی امنیتی برای شناسایی دستگاه‌ها و مکان‌های...

فیشینگ, هرزنامه
ایمیل‌های غیرمنتظره‌ای که درخواست اقدام فوری دارند، باید همیشه با احتیاط بررسی شوند، به خصوص زمانی که شامل هشدارهای امنیتی حساب یا درخواست تأیید اطلاعات شخصی باشند. مجرمان سایبری اغلب پیام‌های فیشینگ را به عنوان اعلان‌های رسمی پنهان می‌کنند تا گیرندگان را برای افشای اطلاعات حساس فریب دهند. ایمیل‌های «به‌روزرسانی امنیتی برای شناسایی دستگاه‌ها و مکان‌های مورد اعتماد» بخشی از چنین کمپین کلاهبرداری...

Aibrowseruodate.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
رعایت احتیاط هنگام مرور اینترنت بیش از هر زمان دیگری اهمیت دارد. مجرمان سایبری و تبلیغ‌کنندگان فریبکار دائماً وب‌سایت‌های جعلی ایجاد می‌کنند که برای فریب بازدیدکنندگان و وادار کردن آنها به انجام...

پربیننده ترین

بارگذاری...