Ponuda s popustom na više licenci
Baza prijetnji Malware Banana RAT

Banana RAT

Do Mezo. Malware, Alati za udaljenu administraciju. godine
Prevedi na:

Banana RAT je sofisticirani bankarski trojanac za udaljeni pristup (RAT) posebno dizajniran za ciljanje korisnika u Brazilu. Sigurnosni istraživači pripisuju kampanju skupini prijetnji SHADOW-WATER-063, koja je usko povezana s brazilskim ozloglašenim ekosustavom zlonamjernog softvera Tetrade za bankarstvo. Ovaj širi ekosustav već uključuje dobro poznate obitelji zlonamjernog softvera kao što su Grandoreiro, Mekotio, Casbaneiro, Guildma i CHAVECLOAK.

Zlonamjerni softver napadačima pruža opsežnu kontrolu nad zaraženim sustavima, omogućujući praćenje zaslona u stvarnom vremenu, manipulaciju tipkovnicom i mišem, zapisivanje pritisaka tipki, presretanje međuspremnika i postavljanje lažnih bankarskih ili Windows Update zaslona osmišljenih za prikrivanje prijevarnih financijskih aktivnosti. Banana RAT je snažno usmjeren na kompromitiranje online bankarskih sesija i preusmjeravanje financijskih transakcija bez da žrtva to primijeti.

Lanac infekcije i taktike izbjegavanja

Žrtve se obično prevarom navode na pokretanje zlonamjerne batch datoteke pod nazivom Consultar_NF-e.bat. Datoteka je prikrivena kao legitimna brazilska elektronička faktura poznata kao NF-e (Nota Fiscal Eletrônica), format koji tvrtke diljem Brazila široko prepoznaju. Distribucija se obično odvija putem WhatsApp poruka, phishing kampanja ili zlonamjernih poveznica smještenih na domenama koje kontroliraju napadači.

Banana RAT funkcionira koristeći model Malware-as-a-Service koji se oslanja na velike količine polimorfnih podataka. Umjesto isporuke identičnih uzoraka zlonamjernog softvera, napadači održavaju između 100 i 200 unaprijed generiranih varijanti, od kojih je svaka jedinstveno kodirana kako bi izbjegla metode detekcije temeljene na hashu. Svaki sadržaj zaštićen je s devet slojeva maskiranja i šifriran je pomoću AES-256.

Nakon što se pokrene zlonamjerna batch datoteka, lagani PowerShell stager preuzima šifrirani teret druge faze s infrastrukture napadača. Korisni teret se dešifrira izravno u memoriji i izvršava bez pisanja čitljivog koda na disk, što znatno otežava otkrivanje zlonamjernog softvera tradicionalnim antivirusnim rješenjima. Kako bi dodatno prikrio komunikaciju, zlonamjerni softver uspostavlja svoju Command-and-Control (C2) vezu preko TCP porta 443 putem tipografski neispravnih domena koje oponašaju legitimnu Microsoft CDN infrastrukturu. Promet je šifriran s AES-256-CBC i autentificiran pomoću HMAC tokena povezanih s GUID-om i MAC adresom zaraženog računala, osiguravajući da samo ovlašteni operateri mogu komunicirati s kompromitiranim uređajem.

Potpuno daljinsko upravljanje i manipulacija bankarstvom

Nakon izvršenja, Banana RAT operaterima daje izravnu i interaktivnu kontrolu nad zaraženim sustavom. Napadači mogu u stvarnom vremenu streamati radnu površinu na više monitora, simulirati unos tipkovnicom i mišem, pa čak i privremeno onemogućiti ulazne uređaje žrtve dok se u pozadini izvršavaju neovlaštene bankarske transakcije.

Mogućnosti nadzora zlonamjernog softvera protežu se dalje od daljinskog upravljanja. Integrirani keylogger kontinuirano bilježi pritiske tipki u ring buffer koji operateri mogu dohvatiti na zahtjev. Također je implementiran nadzor međuspremnika, što napadačima omogućuje tihu zamjenu kopiranog sadržaja, uključujući adrese kripto novčanika, alternativama koje kontrolira napadač.

Glavna odlika Banana RAT-a je njegov sustav prekrivanja usmjeren na bankarstvo. Zlonamjerni softver prati aktivne naslove prozora preglednika i uspoređuje ih s fiksno kodiranim popisom 16 brazilskih financijskih institucija, uključujući Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal i Banco do Brasil, uz platforme za razmjenu kriptovaluta koje posluju u Brazilu. Kada se otkrije podudaranje, napadači mogu postaviti uvjerljive prekrivanja preko cijelog zaslona koja oponašaju legitimne bankarske portale ili obavijesti Windows Updatea, maskirajući prijevarne radnje koje se odvijaju iza kulisa.

Otmica Pix QR koda i dugotrajna prisutnost

Banana RAT uključuje namjenski podsustav usmjeren na Pix, brazilsku platformu za trenutna plaćanja. Učitavanjem ZXing biblioteke za obradu barkodova tijekom izvođenja, zlonamjerni softver skenira zaslon žrtve u potrazi za Pix QR kodovima. Nakon što ih otkriju, napadači mogu zamijeniti legitimne QR kodove za plaćanje lažnim verzijama koje preusmjeravaju sredstva na račune pod njihovom kontrolom. Slične taktike manipulacije QR kodovima prethodno su uočene kod brazilskih bankarskih trojanaca kao što su Mekotio i CHAVECLOAK, što dodatno potvrđuje klasifikaciju Banana RAT-a unutar ekosustava zlonamjernog softvera Tetrade.

Kako bi održao postojanost, zlonamjerni softver stvara skriveni unos u Windows Task Scheduler konfiguriran za ponovno pokretanje PowerShell tereta svake minute tijekom 9999 dana. Planirani zadatak izvršava se sa skrivenim prozorima i zaobilaženim pravilima izvršavanja, sprječavajući pojavljivanje vidljivih upita ili prozora konzole. Banana RAT se također kopira u direktorije dizajnirane da nalikuju legitimnim Microsoftovim dijagnostičkim putanjama, što mu pomaže da se uklopi u pouzdane lokacije sustava i izbjegne slučajnu inspekciju.

Primarni načini isporuke i znakovi upozorenja

Kampanje Banana RAT-a prvenstveno se oslanjaju na društveni inženjering i tehnike obmanjujuće isporuke datoteka. Uobičajene metode zaraze uključuju:

  • Phishing e-poruke s lažnim privitcima računa ili zlonamjernim poveznicama za preuzimanje
  • Poruke na WhatsAppu i platformama za chat koje sadrže prikrivene NF-e dokumente
  • Drive-by preuzimanja s kompromitiranih web stranica i zlonamjerni oglasi
  • Piratski softver, lažna ažuriranja softvera i crackirane aplikacije
  • Zlonamjerni formati datoteka kao što su BAT, JavaScript, LNK prečaci, ZIP ili RAR arhive, Office dokumenti, EXE instalacijski programi i MSI paketi

Pokazatelji kompromisa i obrambenih mjera

Banana RAT je posebno dizajniran za krađu novca od brazilskih bankarskih korisnika u stvarnom vremenu. Njegova kombinacija pristupa uživo na daljinu, krađe vjerodajnica, manipulacije QR kodovima i bankarskih slojeva omogućuje napadačima da u potpunosti preuzmu financijske sesije, a istovremeno prikriju lažne transakcije od žrtava.

Potencijalni pokazatelji kompromitiranja uključuju:

  • Neočekivani planirani zadaci konfigurirani za pokretanje skrivenih PowerShell naredbi
  • Sumnjive odlazne veze preko šifriranih kanala koji se lažno predstavljaju kao Microsoftova infrastruktura
  • Neobično ponašanje miša ili tipkovnice tijekom sesija online bankarstva
  • Neovlašteni Pix transferi ili neobjašnjive promjene u kriptovalutnom novčaniku
  • Skriveni PowerShell procesi i abnormalna aktivnost bankovnog računa

Svaki sustav za koji se sumnja da je zaražen treba odmah izolirati. Spremljene bankovne podatke, sadržaj međuspremnika, tokene za autentifikaciju i podatke o kriptovalutnim novčanicima treba tretirati kao kompromitirane, a sve povezane lozinke i financijske podatke za pristup treba bez odgode resetirati.

U trendu

Sigurnosno ažuriranje za prepoznavanje pouzdanih...

Krađa identiteta, Spam
Neočekivane e-poruke koje zahtijevaju hitnu akciju uvijek treba tretirati s oprezom, posebno kada uključuju upozorenja o sigurnosti računa ili zahtjeve za provjeru osobnih podataka. Kibernetički kriminalci često prikrivaju phishing poruke kao službene obavijesti kako bi manipulirali primateljima da otkriju osjetljive podatke. E-poruke 'Sigurnosno ažuriranje za prepoznavanje pouzdanih uređaja i...

Nagledanije

Učitavam...