Banana चूहा

Banana RAT एक परिष्कृत बैंकिंग रिमोट एक्सेस ट्रोजन (RAT) है जिसे विशेष रूप से ब्राजील के उपयोगकर्ताओं को निशाना बनाने के लिए डिज़ाइन किया गया है। सुरक्षा शोधकर्ताओं का मानना है कि इस अभियान का संबंध SHADOW-WATER-063 नामक खतरे समूह से है, जो ब्राजील के कुख्यात Tetrade बैंकिंग मैलवेयर इकोसिस्टम से घनिष्ठ रूप से जुड़ा हुआ है। इस व्यापक इकोसिस्टम में पहले से ही Grandoreiro, Mekotio, Casbaneiro, Guildma और CHAVECLOAK जैसे प्रसिद्ध मैलवेयर परिवार शामिल हैं।

यह मैलवेयर हमलावरों को संक्रमित सिस्टम पर व्यापक नियंत्रण प्रदान करता है, जिससे वे वास्तविक समय में स्क्रीन की निगरानी कर सकते हैं, कीबोर्ड और माउस का इस्तेमाल कर सकते हैं, कीस्ट्रोक लॉग कर सकते हैं, क्लिपबोर्ड को इंटरसेप्ट कर सकते हैं और धोखाधड़ी वाली वित्तीय गतिविधियों को छिपाने के लिए नकली बैंकिंग या विंडोज अपडेट स्क्रीन प्रदर्शित कर सकते हैं। बनाना आरएटी मुख्य रूप से ऑनलाइन बैंकिंग सत्रों को हैक करने और पीड़ित को पता चले बिना वित्तीय लेनदेन को पुनर्निर्देशित करने पर केंद्रित है।

संक्रमण श्रृंखला और बचाव की रणनीति

पीड़ितों को अक्सर Consultar_NF-e.bat नामक एक दुर्भावनापूर्ण बैच फ़ाइल को चलाने के लिए बहकाया जाता है। यह फ़ाइल ब्राज़ील के वैध इलेक्ट्रॉनिक इनवॉइस, जिसे NF-e (Nota Fiscal Eletrônica) के नाम से जाना जाता है, के रूप में प्रस्तुत की जाती है, जो ब्राज़ील भर के व्यवसायों द्वारा व्यापक रूप से मान्यता प्राप्त प्रारूप है। इसका वितरण आमतौर पर WhatsApp संदेशों, फ़िशिंग अभियानों या हमलावरों द्वारा नियंत्रित डोमेन पर होस्ट किए गए दुर्भावनापूर्ण लिंक के माध्यम से होता है।

Banana RAT मैलवेयर-एज़-अ-सर्विस मॉडल का उपयोग करके काम करता है, जो बहुरूपी पेलोड के बड़े संग्रह पर निर्भर करता है। एक जैसे मैलवेयर सैंपल देने के बजाय, हमलावर 100 से 200 पूर्व-निर्मित वेरिएंट बनाए रखते हैं, जिनमें से प्रत्येक को हैश-आधारित पहचान विधियों से बचने के लिए विशिष्ट रूप से स्क्रैम्बल किया जाता है। प्रत्येक पेलोड नौ परतों के ऑबफस्केशन द्वारा सुरक्षित होता है और AES-256 का उपयोग करके एन्क्रिप्ट किया जाता है।

एक बार दुर्भावनापूर्ण बैच फ़ाइल लॉन्च हो जाने पर, एक हल्का पॉवरशेल स्टैगर हमलावर के इंफ्रास्ट्रक्चर से एन्क्रिप्टेड द्वितीय-चरण पेलोड डाउनलोड कर लेता है। पेलोड को सीधे मेमोरी में डिक्रिप्ट किया जाता है और डिस्क पर पठनीय कोड लिखे बिना निष्पादित किया जाता है, जिससे पारंपरिक एंटीवायरस समाधानों के लिए मैलवेयर का पता लगाना काफी कठिन हो जाता है। संचार को और अधिक छिपाने के लिए, मैलवेयर वैध माइक्रोसॉफ्ट सीडीएन इंफ्रास्ट्रक्चर की नकल करने वाले नकली डोमेन के माध्यम से टीसीपी पोर्ट 443 पर अपना कमांड-एंड-कंट्रोल (सी2) कनेक्शन स्थापित करता है। ट्रैफ़िक को AES-256-CBC से एन्क्रिप्ट किया जाता है और संक्रमित मशीन के GUID और MAC पते से जुड़े HMAC टोकन का उपयोग करके प्रमाणित किया जाता है, यह सुनिश्चित करते हुए कि केवल अधिकृत ऑपरेटर ही प्रभावित डिवाइस के साथ इंटरैक्ट कर सकें।

पूर्ण रिमोट कंट्रोल और बैंकिंग संचालन

निष्पादन के बाद, बनाना आरएटी ऑपरेटरों को संक्रमित सिस्टम पर सीधा और इंटरैक्टिव नियंत्रण प्रदान करता है। हमलावर डेस्कटॉप को कई मॉनिटरों पर वास्तविक समय में स्ट्रीम कर सकते हैं, कीबोर्ड और माउस इनपुट का अनुकरण कर सकते हैं, और यहां तक कि पृष्ठभूमि में अनधिकृत बैंकिंग लेनदेन करते समय पीड़ित के अपने इनपुट उपकरणों को अस्थायी रूप से निष्क्रिय भी कर सकते हैं।

इस मैलवेयर की निगरानी क्षमताएं रिमोट कंट्रोल से कहीं आगे तक फैली हुई हैं। इसमें एकीकृत कीलॉगर लगातार कीस्ट्रोक्स को एक रिंग बफर में रिकॉर्ड करता है, जिसे ऑपरेटर जरूरत पड़ने पर प्राप्त कर सकते हैं। क्लिपबोर्ड मॉनिटरिंग भी इसमें शामिल है, जिससे हमलावर चुपचाप कॉपी की गई सामग्री, जिसमें क्रिप्टोकरेंसी वॉलेट पते भी शामिल हैं, को हमलावर द्वारा नियंत्रित विकल्पों से बदल सकते हैं।

Banana RAT की एक प्रमुख विशेषता इसका बैंकिंग-केंद्रित ओवरले सिस्टम है। यह मैलवेयर सक्रिय ब्राउज़र विंडो के शीर्षकों पर नज़र रखता है और उनकी तुलना ब्राज़ील के 16 वित्तीय संस्थानों की एक हार्डकोडेड सूची से करता है, जिनमें Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal और Banco do Brasil शामिल हैं, साथ ही ब्राज़ील में संचालित क्रिप्टोकरेंसी एक्सचेंज प्लेटफॉर्म भी। मिलान होने पर, हमलावर विश्वसनीय फुल-स्क्रीन ओवरले प्रदर्शित कर सकते हैं जो वैध बैंकिंग पोर्टल या विंडोज अपडेट नोटिफिकेशन की नकल करते हैं, जिससे पर्दे के पीछे चल रही धोखाधड़ी वाली गतिविधियाँ छिप जाती हैं।

पिक्स क्यूआर कोड हाइजैकिंग और दीर्घकालिक निरंतरता

Banana RAT में ब्राज़ील के इंस्टेंट पेमेंट प्लेटफॉर्म Pix को निशाना बनाने वाला एक समर्पित सबसिस्टम शामिल है। रनटाइम पर ZXing बारकोड प्रोसेसिंग लाइब्रेरी को लोड करके, यह मैलवेयर पीड़ित की स्क्रीन पर Pix QR कोड स्कैन करता है। एक बार पता चलने पर, हमलावर वैध पेमेंट QR कोड को फर्जी QR कोड से बदल सकते हैं, जिससे धनराशि उनके नियंत्रण वाले खातों में ट्रांसफर हो जाती है। इसी तरह की QR कोड हेरफेर तकनीकें पहले भी ब्राज़ीलियाई बैंकिंग ट्रोजन जैसे Mekotio और CHAVECLOAK में देखी गई हैं, जो Banana RAT को Tetrade मैलवेयर इकोसिस्टम के अंतर्गत वर्गीकृत करने की पुष्टि करती हैं।

अपनी निरंतरता बनाए रखने के लिए, मैलवेयर एक गुप्त विंडोज टास्क शेड्यूलर एंट्री बनाता है जो 9,999 दिनों तक हर मिनट पॉवरशेल पेलोड को पुनः लॉन्च करने के लिए कॉन्फ़िगर किया गया है। यह निर्धारित कार्य छिपी हुई विंडोज़ और बायपास की गई निष्पादन नीतियों के साथ चलता है, जिससे दृश्य प्रॉम्प्ट या कंसोल विंडो दिखाई नहीं देती हैं। बनाना आरएटी खुद को उन डायरेक्टरी में भी कॉपी करता है जो वैध माइक्रोसॉफ्ट डायग्नोस्टिक पाथ से मिलती-जुलती हैं, जिससे यह विश्वसनीय सिस्टम स्थानों में घुलमिल जाता है और सामान्य जांच से बच जाता है।

प्रसव के प्राथमिक तरीके और चेतावनी संकेत

बनाना आरएटी अभियान मुख्य रूप से सोशल इंजीनियरिंग और भ्रामक फ़ाइल वितरण तकनीकों पर निर्भर करते हैं। संक्रमण के सामान्य तरीकों में शामिल हैं:

• नकली इनवॉइस अटैचमेंट या दुर्भावनापूर्ण डाउनलोड लिंक वाले फ़िशिंग ईमेल
• व्हाट्सएप और चैट प्लेटफॉर्म पर भेजे गए संदेशों में छिपे हुए एनएफ-ई दस्तावेज़ शामिल हैं।
• असुरक्षित वेबसाइटों और दुर्भावनापूर्ण विज्ञापनों से होने वाले ड्राइव-बाय डाउनलोड
• पायरेटेड सॉफ़्टवेयर, नकली सॉफ़्टवेयर अपडेट और क्रैक किए गए एप्लिकेशन
• BAT, JavaScript, LNK शॉर्टकट, ZIP या RAR आर्काइव, Office दस्तावेज़, EXE इंस्टॉलर और MSI पैकेज जैसे दुर्भावनापूर्ण फ़ाइल स्वरूप।

समझौते और रक्षात्मक उपायों के संकेतक

Banana RAT को विशेष रूप से ब्राज़ीलियाई बैंकिंग उपयोगकर्ताओं से वास्तविक समय में पैसे चुराने के लिए डिज़ाइन किया गया है। लाइव रिमोट एक्सेस, क्रेडेंशियल चोरी, क्यूआर कोड में हेरफेर और बैंकिंग ओवरले के संयोजन से हमलावर वित्तीय सत्रों को पूरी तरह से हाईजैक कर सकते हैं, साथ ही पीड़ितों से धोखाधड़ी वाले लेनदेन को छिपा सकते हैं।

समझौते के संभावित संकेतकों में निम्नलिखित शामिल हैं:

• अप्रत्याशित रूप से निर्धारित कार्य छिपे हुए पॉवरशेल कमांड लॉन्च करने के लिए कॉन्फ़िगर किए गए हैं।
• माइक्रोसॉफ्ट के बुनियादी ढांचे का रूप धारण करने वाले एन्क्रिप्टेड चैनलों पर संदिग्ध आउटबाउंड कनेक्शन
• ऑनलाइन बैंकिंग सत्रों के दौरान माउस या कीबोर्ड का असामान्य व्यवहार
• अनधिकृत पिक्स ट्रांसफर या अस्पष्ट क्रिप्टोकरेंसी वॉलेट परिवर्तन
• छिपी हुई पॉवरशेल प्रक्रियाएं और असामान्य बैंकिंग खाता गतिविधि

संक्रमण की आशंका वाले किसी भी सिस्टम को तुरंत अलग कर देना चाहिए। सहेजे गए बैंकिंग क्रेडेंशियल, क्लिपबोर्ड की सामग्री, प्रमाणीकरण टोकन और क्रिप्टोकरेंसी वॉलेट की जानकारी को असुरक्षित माना जाना चाहिए, और इससे जुड़े सभी पासवर्ड और वित्तीय पहुंच क्रेडेंशियल को बिना देरी किए रीसेट कर देना चाहिए।