Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Banana RAT

Banana RAT

Mezo -ra Malware, Távoli adminisztrációs eszközök-ben
Fordítás ide:

A Banana RAT egy kifinomult banki távoli hozzáférésű trójai (RAT), amelyet kifejezetten a brazil felhasználók megcélzására fejlesztettek ki. Biztonsági kutatók a kampányt a SHADOW-WATER-063 fenyegetéscsoportnak tulajdonítják, amely szorosan kapcsolódik Brazília hírhedt Tetrade banki kártevő-ökoszisztémájához. Ez a tágabb ökoszisztéma már magában foglal olyan jól ismert kártevőcsaládokat, mint a Grandoreiro, a Mekotio, a Casbaneiro, a Guildma és a CHAVECLOAK.

A rosszindulatú program széleskörű kontrollt biztosít a támadóknak a fertőzött rendszerek felett, lehetővé téve a valós idejű képernyőfigyelést, a billentyűzet és az egér manipulálását, a billentyűleütések naplózását, a vágólap lehallgatását, valamint hamis banki vagy Windows Update képernyők telepítését, amelyek célja a csalárd pénzügyi tevékenységek elrejtése. A Banana RAT elsősorban az online banki munkamenetek feltörésére és a pénzügyi tranzakciók átirányítására összpontosít anélkül, hogy az áldozat észrevenné.

Fertőzéslánc és kitérési taktikák

Az áldozatokat gyakran ráveszik egy Consultar_NF-e.bat nevű rosszindulatú kötegelt fájl futtatására. A fájl egy legitim brazil elektronikus számla, az NF-e (Nota Fiscal Eletrônica) álcája, amely formátum széles körben ismert a brazil vállalkozások körében. A terjesztés jellemzően WhatsApp üzeneteken, adathalász kampányokon vagy a támadók által ellenőrzött domaineken tárolt rosszindulatú linkeken keresztül történik.

A Banana RAT egy „Malware-as-a-Service” modellt használ, amely nagyszámú polimorf hasznos adatra támaszkodik. Azonos rosszindulatú minták kézbesítése helyett a támadók 100 és 200 előre generált variánst tartanak fenn, amelyek mindegyike egyedileg kódolva van, hogy megkerülje a hash-alapú észlelési módszereket. Minden hasznos adatot kilenc rétegű obfuszkálás véd, és AES-256 titkosítással titkosítanak.

Amint a rosszindulatú kötegelt fájl elindul, egy könnyű PowerShell stager letölti a titkosított második szintű hasznos adatot a támadó infrastruktúrájáról. A hasznos adatot közvetlenül a memóriában fejti vissza, és olvasható kód lemezre írása nélkül hajtja végre a rendszer, így a rosszindulatú program jelentősen megnehezíti a hagyományos vírusvédelmi megoldások számára a felderítést. A kommunikáció további elrejtése érdekében a rosszindulatú program Command-and-Control (C2) kapcsolatot hoz létre a TCP 443-as portján keresztül, elgépelésekkel módosított domaineken keresztül, amelyek a legitim Microsoft CDN infrastruktúrát utánozzák. A forgalmat AES-256-CBC titkosítással titkosítja, és a fertőzött gép GUID-jához és MAC-címéhez kapcsolt HMAC tokenekkel hitelesíti, biztosítva, hogy csak a jogosult operátorok léphessenek kapcsolatba a feltört eszközzel.

Teljes távirányítás és banki manipuláció

A Banana RAT végrehajtása után a felhasználók közvetlen és interaktív irányítást kapnak a fertőzött rendszer felett. A támadók valós időben streamelhetik az asztali felületet több monitoron, szimulálhatják a billentyűzet- és egérbevitelt, sőt ideiglenesen letilthatják az áldozat saját beviteli eszközeit, miközben jogosulatlan banki tranzakciókat hajtanak végre a háttérben.

A rosszindulatú program megfigyelési képességei túlmutatnak a távirányításon. Egy integrált billentyűnaplózó folyamatosan rögzíti a billentyűleütéseket egy gyűrűs pufferbe, amelyet az operátorok igény szerint lehívhatnak. A vágólap-figyelés is megvalósítva van, lehetővé téve a támadók számára, hogy a másolt tartalmat, beleértve a kriptovaluta-tárcacímeket is, csendben lecseréljék a fenyegető által ellenőrzött alternatívákkal.

A Banana RAT egyik fő megkülönböztető jellemzője a banki tevékenységre fókuszáló átfedő rendszere. A rosszindulatú program figyeli az aktív böngészőablakok címsorait, és összehasonlítja azokat 16 brazil pénzügyi intézmény fixen kódolt listájával, köztük az Itaú Unibanco, a Bradesco, a Santander Brasil, a Caixa Econômica Federal és a Banco do Brasil, valamint a Brazíliában működő kriptotőzsdei platformokkal. Egyezés észlelése esetén a támadók meggyőző teljes képernyős átfedéseket tudnak telepíteni, amelyek legitim banki portálokat vagy Windows Update értesítéseket utánoznak, elfedve a színfalak mögött zajló csalárd tevékenységeket.

Pix QR-kód eltérítése és hosszú távú fennmaradása

A Banana RAT egy dedikált alrendszert tartalmaz, amely a Pixet, Brazília azonnali fizetési platformját célozza meg. A ZXing vonalkód-feldolgozó könyvtár futásidejű betöltésével a rosszindulatú program beolvassa az áldozat képernyőjét a Pix QR-kódok után. Az észlelést követően a támadók a legitim fizetési QR-kódokat csalárd verziókkal helyettesíthetik, amelyek átirányítják a pénzeszközöket az általuk ellenőrzött számlákra. Hasonló QR-kód-manipulációs taktikákat korábban is megfigyeltek brazil banki trójai vírusokban, mint például a Mekotio és a CHAVECLOAK, ami megerősíti a Banana RAT besorolását a Tetrade rosszindulatú ökoszisztémán belül.

A perzisztencia fenntartása érdekében a rosszindulatú program létrehoz egy rejtett Windows Feladatütemező bejegyzést, amely úgy van konfigurálva, hogy 9999 napon keresztül percenként újraindítsa a PowerShell-csomagot. Az ütemezett feladat rejtett ablakokkal és megkerült végrehajtási szabályzatokkal fut, megakadályozva a látható promptok vagy konzolablakok megjelenését. A Banana RAT emellett olyan könyvtárakba is másolja magát, amelyek a Microsoft legitim diagnosztikai útvonalaira hasonlítanak, így beolvad a megbízható rendszerhelyekbe, és elkerüli a véletlenszerű ellenőrzéseket.

Elsődleges kézbesítési módok és figyelmeztető jelek

A Banana RAT kampányok elsősorban a pszichológiai manipulációra és a megtévesztő fájlküldési technikákra épülnek. A gyakori fertőzési módszerek a következők:

  • Hamis számlákat vagy rosszindulatú letöltési linkeket tartalmazó adathalász e-mailek
  • WhatsApp és chatplatform üzenetek, amelyek álcázott NF-e dokumentumokat tartalmaznak
  • Drive-by letöltések feltört webhelyekről és rosszindulatú hirdetésekből
  • Kalózszoftverek, hamis szoftverfrissítések és feltört alkalmazások
  • Kártékony fájlformátumok, például BAT, JavaScript, LNK parancsikonok, ZIP vagy RAR archívumok, Office dokumentumok, EXE telepítők és MSI csomagok

Kompromisszum és védekező intézkedések mutatói

A Banana RAT vírust kifejezetten arra tervezték, hogy valós időben lopjon pénzt brazil banki felhasználóktól. Az élő távoli hozzáférés, a hitelesítő adatok ellopása, a QR-kód manipulálása és a banki átfedések kombinációja lehetővé teszi a támadók számára, hogy teljes mértékben eltérítsék a pénzügyi munkameneteket, miközben elrejtik a csalárd tranzakciókat az áldozatok elől.

A kompromisszum lehetséges jelei a következők:

  • Váratlan ütemezett feladatok rejtett PowerShell-parancsok indítására konfigurálva
  • Gyanús kimenő kapcsolatok titkosított csatornákon keresztül, amelyek a Microsoft infrastruktúráját adják ki.
  • Szokatlan egér- vagy billentyűzetviselkedés online banki munkamenetek során
  • Jogosulatlan Pix-átutalások vagy megmagyarázhatatlan kriptovaluta-tárcaváltások
  • Rejtett PowerShell folyamatok és rendellenes bankszámla-tevékenység

Minden fertőzésgyanús rendszert azonnal el kell különíteni. A mentett banki hitelesítő adatokat, a vágólap tartalmát, a hitelesítési tokeneket és a kriptovaluta-tárca adatait feltörtként kell kezelni, és az összes kapcsolódó jelszót és pénzügyi hozzáférési hitelesítő adatot haladéktalanul vissza kell állítani.

Felkapott

Biztonsági frissítés a megbízható eszközök és...

Adathalászat, Spam
A váratlan, sürgős beavatkozást igénylő e-maileket mindig óvatosan kell kezelni, különösen akkor, ha fiókbiztonsági figyelmeztetéseket vagy személyes adatok ellenőrzésére irányuló kéréseket tartalmaznak. A kiberbűnözők gyakran álcázzák az adathalász üzeneteket hivatalos értesítésekként, hogy manipulálják a címzetteket, és bizalmas adatokat hozzanak nyilvánosságra. A „Biztonsági frissítés a...

Legnézettebb

Betöltés...