הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית Banana RAT

Banana RAT

עד Mezo ב-תוכנה זדונית, כלי ניהול מרחוק
לתרגם ל:

Banana RAT הוא סוס טרויאני מתוחכם לגישה מרחוק (RAT) לבנקאות, שפותח במיוחד כדי למקד משתמשים בברזיל. חוקרי אבטחה מייחסים את הקמפיין לקבוצת האיומים SHADOW-WATER-063, המקושרת קשר הדוק למערכת הזדוניות הבנקאית הידועה לשמצה של Tetrade בברזיל. מערכת אקולוגית רחבה יותר זו כבר כוללת משפחות נוזקות ידועות כמו Grandoreiro, Mekotio, Casbaneiro, Guildma ו-CHAVECLOAK.

התוכנה הזדונית מספקת לתוקפים שליטה נרחבת על מערכות נגועות, ומאפשרת ניטור מסך בזמן אמת, מניפולציה של מקלדת ועכבר, רישום הקשות מקשים, יירוט לוח כתיבה ופריסת מסכי בנקאות מזויפים או מסכי Windows Update שנועדו להסתיר פעילות פיננסית הונאה. Banana RAT מתמקדת במידה רבה בפגיעה בהפעלות בנקאיות מקוונות ובניתוב מחדש של עסקאות פיננסיות מבלי שהקורבן ישים לב.

שרשרת הדבקה וטקטיקות התחמקות

קורבנות נוטים להיות מוטעים להריץ קובץ אצווה זדוני בשם Consultar_NF-e.bat. הקובץ מחופש לחשבונית אלקטרונית ברזילאית לגיטימית המכונה NF-e (Nota Fiscal Eletrônica), פורמט המוכר באופן נרחב על ידי עסקים ברחבי ברזיל. ההפצה מתרחשת בדרך כלל באמצעות הודעות וואטסאפ, קמפיינים של פישינג או קישורים זדוניים המאוחסנים בדומיינים הנשלטים על ידי תוקפים.

Banana RAT פועלת באמצעות מודל של תוכנה זדונית כשירות (Malware-as-a-Service) המסתמך על מאגרי תוכנות זדוניות גדולים (polymorphic) (פולימורפיים). במקום לספק דגימות זהות של תוכנות זדוניות, התוקפים שומרים בין 100 ל-200 גרסאות שנוצרו מראש, כל אחת מהן מעורבבת באופן ייחודי כדי להתחמק משיטות זיהוי מבוססות גיבוב (hash). כל מטען מוגן על ידי תשע שכבות של ערפול ומוצפן באמצעות AES-256.

לאחר הפעלת קובץ האצווה הזדוני, תוכנת PowerShell קלת משקל מורידה את המטען המוצפן של השלב השני מתשתית התוקף. המטען מפוענח ישירות בזיכרון ומופעל מבלי לכתוב קוד קריא לדיסק, מה שמקשה משמעותית על פתרונות אנטי-וירוס מסורתיים לזהות את התוכנה הזדונית. כדי להסתיר עוד יותר את התקשורת, התוכנה הזדונית מקימה את חיבור ה-Command-and-Control (C2) שלה דרך יציאת TCP 443 דרך דומיינים מסוג typosquatted המחקים תשתית CDN לגיטימית של מיקרוסופט. התעבורה מוצפנת באמצעות AES-256-CBC ומאומתת באמצעות אסימוני HMAC המקושרים ל-GUID ולכתובת MAC של המכונה הנגועה, מה שמבטיח שרק מפעילים מורשים יוכלו לקיים אינטראקציה עם המכשיר שנפרץ.

שליטה מרחוק מלאה ומניפולציה בנקאית

לאחר הביצוע, Banana RAT מעניק למפעילים שליטה ישירה ואינטראקטיבית על המערכת הנגועה. תוקפים יכולים להזרים את שולחן העבודה על פני מספר צגים בזמן אמת, לדמות קלט ממקלדת ועכבר, ואף להשבית זמנית את התקני הקלט של הקורבן עצמו בזמן שפעולות בנקאיות לא מורשות מתבצעות ברקע.

יכולות המעקב של הנוזקה חורגות מעבר לשליטה מרחוק. לוגר מקלדת משולב מתעד באופן רציף הקשות מקלדת לתוך מאגר טבעתי שמפעילים יכולים לאחזר לפי דרישה. ניטור לוח כתיבה מיושם גם הוא, המאפשר לתוקפים להחליף בשקט תוכן שהועתק, כולל כתובות ארנקי קריפטו, בחלופות הנשלטות על ידי גורם האיום.

מאפיין בולט של Banana RAT הוא מערכת שכבות המתמקדת בבנקאות. הנוזקה מנטרת כותרות חלונות דפדפן פעילים ומשווה אותן לרשימה מקודדת של 16 מוסדות פיננסיים ברזילאים, כולל Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal ו-Banco do Brasil, לצד פלטפורמות בורסת מטבעות קריפטוגרפיים הפועלות בברזיל. כאשר מתגלה התאמה, התוקפים יכולים לפרוס שכבות משכנעות במסך מלא המחקות פורטלים בנקאיים לגיטימיים או התראות Windows Update, ומסוות את הפעולות ההונאה המתרחשות מאחורי הקלעים.

חטיפת קוד QR של Pix והתמדה ארוכת טווח

Banana RAT כוללת תת-מערכת ייעודית המכוונת ל-Pix, פלטפורמת התשלום המיידית של ברזיל. על ידי טעינת ספריית עיבוד הברקודים של ZXing בזמן ריצה, הנוזקה סורקת את מסך הקורבן אחר קודי QR של Pix. לאחר הזיהוי, התוקפים יכולים להחליף קודי QR לגיטימיים לתשלום בגרסאות הונאה המנתבות כספים לחשבונות הנמצאים בשליטתם. טקטיקות דומות של מניפולציה של קוד QR נצפו בעבר בטרויאנים בנקאיים ברזילאים כמו Mekotio ו-CHAVECLOAK, מה שמחזק את סיווגה של Banana RAT בתוך המערכת האקולוגית של נוזקות Tetrade.

כדי לשמור על עמידות, התוכנה הזדונית יוצרת ערך מוסתר של מתזמן המשימות של Windows שתצורתו נקבעה להפעלה מחדש של מטען PowerShell בכל דקה במשך 9,999 ימים. המשימה המתוזמנת מבוצעת עם חלונות מוסתרים ומדיניות ביצוע עוקפת, מה שמונעת הופעה של הנחיות גלויות או חלונות קונסולה. Banana RAT גם מעתיק את עצמו לספריות שנועדו להידמות לנתיבי אבחון לגיטימיים של מיקרוסופט, מה שעוזר לו להשתלב במיקומי מערכת מהימנים ולהימנע מבדיקה אגבית.

שיטות אספקה עיקריות וסימני אזהרה

קמפיינים של Banana RAT מסתמכים בעיקר על הנדסה חברתית וטכניקות מטעות להעברת קבצים. שיטות הדבקה נפוצות כוללות:

  • הודעות דיוג המכילות קבצים מצורפים לחשבוניות מזויפות או קישורי הורדה זדוניים
  • הודעות וואטסאפ ופלטפורמות צ'אט המכילות מסמכי NF-e מוסווים
  • הורדות מהירות מאתרים שנפגעו ופרסומות זדוניות
  • תוכנה פיראטית, עדכוני תוכנה מזויפים ואפליקציות פרוצות
  • פורמטים של קבצים זדוניים כגון BAT, JavaScript, קיצורי דרך של LNK, ארכיוני ZIP או RAR, מסמכי Office, מתקינים של EXE וחבילות MSI

אינדיקטורים של פשרה וצעדי הגנה

Banana RAT תוכנן במיוחד לגניבת כסף ממשתמשי בנקאות ברזילאית בזמן אמת. השילוב של גישה מרחוק בזמן אמת, גניבת אישורים, מניפולציה של קוד QR ושכבות-על בנקאיות מאפשר לתוקפים לחטוף באופן מלא סשנים פיננסיים תוך הסתרת עסקאות הונאה מהקורבנות.

אינדיקטורים אפשריים לפשרה כוללים:

  • משימות מתוזמנות בלתי צפויות שתצורתן נקבעה להפעלת פקודות PowerShell מוסתרות
  • חיבורים יוצאים חשודים דרך ערוצים מוצפנים המתחזים לתשתית של מיקרוסופט
  • התנהגות חריגה של עכבר או מקלדת במהלך שיחות בנקאות מקוונת
  • העברות לא מורשות של Pix או שינויים לא מוסברים בארנק הקריפטו
  • תהליכי PowerShell נסתרים ופעילות חריגה בחשבון הבנק

יש לבודד באופן מיידי כל מערכת החשודה בהדבקה. יש להתייחס לאישורי בנקאות שנשמרו, תוכן הלוח, אסימוני אימות ומידע על ארנקי מטבעות קריפטוגרפיים כאל נחשפים, ויש לאפס ללא דיחוי את כל הסיסמאות ופרטי הגישה הפיננסיים הקשורים אליהם.

מגמות

עדכון אבטחה לזיהוי הונאות דוא"ל של מכשירים ומיקומים...

פישינג, ספאם
יש להתייחס בזהירות לאימיילים בלתי צפויים הדורשים פעולה דחופה, במיוחד כאשר הם כוללים אזהרות אבטחה של החשבון או בקשות לאימות מידע אישי. פושעי סייבר מסווים לעתים קרובות הודעות פישינג כהודעות רשמיות כדי לתמרן את הנמענים לחשוף מידע רגיש. האימיילים "עדכון אבטחה לזיהוי מכשירים ומיקומים מהימנים" הם חלק מקמפיין הונאה כזה ואינם קשורים לחברות, ארגונים או ספקי שירותי דוא"ל לגיטימיים. הודעת אבטחה הונאה...

הכי נצפה

טוען...