Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma Banana RAT

Banana RAT

Vuonna Mezo vuonna Haittaohjelma, Etähallintatyökalut
Käännä:

Banana RAT on hienostunut pankkialan etäkäyttötroijalainen (RAT), joka on suunniteltu erityisesti Brasilian käyttäjiin kohdistuviin hyökkäyksiin. Tietoturvatutkijat yhdistävät kampanjan uhkaryhmään SHADOW-WATER-063, joka on läheisesti yhteydessä Brasilian pahamaineiseen Tetrade-pankkihaittaohjelmaekosysteemiin. Tämä laajempi ekosysteemi sisältää jo tunnettuja haittaohjelmaperheitä, kuten Grandoreiro, Mekotio, Casbaneiro, Guildma ja CHAVECLOAK.

Haittaohjelma antaa hyökkääjille laajan hallinnan tartunnan saaneisiin järjestelmiin, mahdollistaen reaaliaikaisen näytön valvonnan, näppäimistön ja hiiren manipuloinnin, näppäinpainallusten kirjaamisen, leikepöydän sieppaamisen ja väärennettyjen pankki- tai Windows Update -näyttöjen käyttöönoton, joiden tarkoituksena on peittää petollinen taloudellinen toiminta. Banana RAT keskittyy vahvasti verkkopankki-istuntojen vaarantamiseen ja taloudellisten tapahtumien uudelleenohjaamiseen uhrin huomaamatta.

Tartuntaketju ja väistötaktiikat

Uhrit usein huijataan suorittamaan haitallinen eräajotiedosto nimeltä Consultar_NF-e.bat. Tiedosto on naamioitu lailliseksi brasilialaiseksi sähköiseksi laskuksi, joka tunnetaan nimellä NF-e (Nota Fiscal Eletrônica). Tämä muoto on laajalti tunnettu yritysten keskuudessa kaikkialla Brasiliassa. Tiedoston leviäminen tapahtuu tyypillisesti WhatsApp-viestien, tietojenkalastelukampanjoiden tai hyökkääjien hallitsemilla verkkotunnuksilla isännöityjen haitallisten linkkien kautta.

Banana RAT toimii Malware-as-a-Service -mallilla, joka perustuu suuriin polymorfisten hyötykuormien joukkoihin. Identtisten haittaohjelmanäytteiden toimittamisen sijaan hyökkääjät ylläpitävät 100–200 ennalta luotua varianttia, joista jokainen on yksilöllisesti sekoitettu hajautuspohjaisten tunnistusmenetelmien kiertämiseksi. Jokainen hyötykuormitus on suojattu yhdeksällä hämärytyskerroksella ja salattu AES-256-salauksella.

Kun haitallinen eräajotiedosto on käynnistetty, kevyt PowerShell-testausohjelma lataa salatun toisen vaiheen hyötykuorman hyökkääjän infrastruktuurista. Hyötykuorma puretaan suoraan muistiin ja suoritetaan kirjoittamatta luettavaa koodia levylle, mikä tekee haittaohjelmasta huomattavasti vaikeamman havaita perinteisillä virustorjuntaratkaisuilla. Tiedonsiirron salaamiseksi entisestään haittaohjelma muodostaa Command-and-Control (C2) -yhteyden TCP-portin 443 kautta kirjoitusvirheellisten verkkotunnusten kautta, jotka jäljittelevät laillista Microsoft CDN -infrastruktuuria. Liikenne salataan AES-256-CBC-salauksella ja todennetaan tartunnan saaneen koneen GUID- ja MAC-osoitteeseen linkitettyjen HMAC-tokenien avulla. Tämä varmistaa, että vain valtuutetut käyttäjät voivat olla vuorovaikutuksessa tartunnan saaneen laitteen kanssa.

Täysi etäohjaus ja pankkitoimintojen manipulointi

Suoritettuaan Banana RAT antaa käyttäjille suoran ja interaktiivisen hallinnan tartunnan saaneeseen järjestelmään. Hyökkääjät voivat suoratoistaa työpöytää useille näytöille reaaliajassa, simuloida näppäimistö- ja hiirisyöttöä ja jopa poistaa uhrin omat syöttölaitteet tilapäisesti käytöstä, kun luvattomia pankkitapahtumia suoritetaan taustalla.

Haittaohjelman valvontaominaisuudet ulottuvat etähallinnan ulkopuolelle. Integroitu näppäinpainallusten tallentaja tallentaa jatkuvasti näppäinpainalluksia rengaspuskuriin, jonka operaattorit voivat hakea pyynnöstä. Myös leikepöydän valvonta on käytössä, minkä ansiosta hyökkääjät voivat hiljaa korvata kopioidun sisällön, mukaan lukien kryptovaluuttalompakoiden osoitteet, uhkatoimijan hallitsemilla vaihtoehdoilla.

Banana RATin merkittävä erottava ominaisuus on sen pankkitoimintaan keskittyvä peittokuvajärjestelmä. Haittaohjelma tarkkailee aktiivisten selainikkunoiden otsikoita ja vertaa niitä 16 brasilialaisen rahoituslaitoksen kovakoodattuun luetteloon, mukaan lukien Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal ja Banco do Brasil sekä Brasiliassa toimivat kryptovaluutanvaihtoalustat. Kun osuma havaitaan, hyökkääjät voivat käyttää vakuuttavia koko näytön peittokuvia, jotka jäljittelevät laillisia pankkiportaaleja tai Windows Updaten ilmoituksia ja peittävät kulissien takana tapahtuvat petolliset toimet.

Pix QR-koodin kaappaus ja pitkäaikainen säilyminen

Banana RAT sisältää erillisen alijärjestelmän, joka on kohdistettu Brasilian pikamaksualustaan Pixiin. Lataamalla ZXing-viivakoodien käsittelykirjaston suorituksen aikana haittaohjelma skannaa uhrin näytön Pix QR-koodien varalta. Havaittuaan hyökkääjät voivat korvata lailliset maksujen QR-koodit vilpillisillä versioilla, jotka ohjaavat varoja heidän hallinnoimilleen tileille. Samanlaisia QR-koodien manipulointitaktiikoita on aiemmin havaittu brasilialaisissa pankkitroijalaisissa, kuten Mekotiossa ja CHAVECLOAKissa, mikä vahvistaa Banana RATin luokittelua Tetrade-haittaohjelmaekosysteemissä.

Pysyvyyden ylläpitämiseksi haittaohjelma luo piilotetun Windowsin tehtävien ajoituksen merkinnän, joka on määritetty käynnistämään PowerShell-hyötykuorma uudelleen minuutin välein 9 999 päivän ajan. Ajoitettu tehtävä suoritetaan piilotetuissa ikkunoissa ja ohittamalla suorituskäytännöt, mikä estää näkyvien kehotteiden tai konsoli-ikkunoiden avautumisen. Banana RAT kopioi itsensä myös hakemistoihin, jotka on suunniteltu muistuttamaan laillisia Microsoftin diagnostiikkapolkuja, mikä auttaa sitä sulautumaan luotettaviin järjestelmäsijainteihin ja välttämään satunnaisia tarkastuksia.

Ensisijaiset toimitustavat ja varoitusmerkit

Banana RAT -kampanjat perustuvat pääasiassa sosiaaliseen manipulointiin ja harhaanjohtaviin tiedostojen toimitustekniikoihin. Yleisiä tartuntamenetelmiä ovat:

  • Tietojenkalasteluviestit, jotka sisältävät väärennettyjä laskuliitteitä tai haitallisia latauslinkkejä
  • WhatsApp- ja chat-alustojen viestit, jotka sisältävät naamioituja NF-e-asiakirjoja
  • Ohilataukset vaarantuneilta verkkosivustoilta ja haitallisilta mainoksilta
  • Piraattiohjelmistot, väärennetyt ohjelmistopäivitykset ja krakatut sovellukset
  • Haitalliset tiedostomuodot, kuten BAT, JavaScript, LNK-pikakuvakkeet, ZIP- tai RAR-arkistot, Office-asiakirjat, EXE-asennusohjelmat ja MSI-paketit

Kompromissin ja puolustustoimenpiteiden indikaattorit

Banana RAT on erityisesti suunniteltu varastamaan rahaa brasilialaisilta pankkikäyttäjiltä reaaliajassa. Sen reaaliaikaisen etäkäytön, tunnistetietojen varastamisen, QR-koodien manipuloinnin ja pankkitoimintojen peittokuvien yhdistelmä antaa hyökkääjille mahdollisuuden kaapata taloudelliset istunnot kokonaan ja samalla peittää petolliset tapahtumat uhreilta.

Mahdollisia kompromissin indikaattoreita ovat:

  • Odottamattomat ajoitetut tehtävät, jotka on määritetty käynnistämään piilotettuja PowerShell-komentoja
  • Epäilyttävät lähtevät yhteydet salattujen kanavien kautta, jotka tekeytyvät Microsoftin infrastruktuuriksi
  • Epätavallinen hiiren tai näppäimistön toiminta verkkopankkikäyntien aikana
  • Luvattomat Pix-siirrot tai selittämättömät kryptovaluuttalompakoiden muutokset
  • Piilotetut PowerShell-prosessit ja epänormaali pankkitilin toiminta

Kaikki tartunnasta epäillyt järjestelmät tulee eristää välittömästi. Tallennettuja pankkitunnuksia, leikepöydän sisältöä, todennustunnuksia ja kryptovaluuttalompakon tietoja tulee käsitellä vaarantuneina, ja kaikki niihin liittyvät salasanat ja taloudelliset käyttöoikeudet tulee nollata viipymättä.

Trendaavat

Tietoturvapäivitys luotettavien laitteiden ja...

Tietojenkalastelu, Roskaposti
Odottamattomiin sähköposteihin, jotka vaativat kiireellisiä toimia, tulee aina suhtautua varoen, erityisesti silloin, kun ne sisältävät tilin tietoturvavaroituksia tai pyyntöjä henkilötietojen vahvistamiseksi. Kyberrikolliset naamioivat usein tietojenkalasteluviestejä virallisiksi ilmoituksiksi manipuloidakseen vastaanottajia paljastamaan arkaluonteisia tietoja. "Turvallisuuspäivitys...

Eniten katsottu

Ladataan...