Banana RAT

Banana RAT è un sofisticato Trojan di accesso remoto (RAT) per il settore bancario, progettato specificamente per colpire gli utenti in Brasile. I ricercatori di sicurezza attribuiscono la campagna al gruppo di minacce SHADOW-WATER-063, strettamente associato al famigerato ecosistema di malware bancari Tetrade in Brasile. Questo ecosistema più ampio include già famiglie di malware ben note come Grandoreiro, Mekotio, Casbaneiro, Guildma e CHAVECLOAK.

Il malware offre agli aggressori un controllo esteso sui sistemi infetti, consentendo il monitoraggio dello schermo in tempo reale, la manipolazione di tastiera e mouse, la registrazione delle sequenze di tasti, l'intercettazione degli appunti e la visualizzazione di false schermate bancarie o di Windows Update progettate per nascondere attività finanziarie fraudolente. Banana RAT si concentra principalmente sulla compromissione delle sessioni di online banking e sul reindirizzamento delle transazioni finanziarie senza che la vittima se ne accorga.

Catena di infezione e tattiche di elusione

Le vittime vengono spesso indotte con l'inganno ad eseguire un file batch dannoso denominato Consultar_NF-e.bat. Il file è camuffato da una legittima fattura elettronica brasiliana, nota come NF-e (Nota Fiscal Eletrônica), un formato ampiamente riconosciuto dalle aziende in tutto il Brasile. La distribuzione avviene in genere tramite messaggi WhatsApp, campagne di phishing o link dannosi ospitati su domini controllati dagli aggressori.

Banana RAT opera utilizzando un modello Malware-as-a-Service che si basa su grandi pool di payload polimorfici. Invece di distribuire campioni di malware identici, gli aggressori mantengono tra 100 e 200 varianti pregenerate, ognuna con una codifica univoca per eludere i metodi di rilevamento basati su hash. Ogni payload è protetto da nove livelli di offuscamento e crittografato utilizzando AES-256.

Una volta avviato il file batch dannoso, un leggero stager PowerShell scarica il payload crittografato di secondo stadio dall'infrastruttura dell'attaccante. Il payload viene decrittografato direttamente in memoria ed eseguito senza scrivere codice leggibile su disco, rendendo il malware significativamente più difficile da rilevare per le soluzioni antivirus tradizionali. Per nascondere ulteriormente le comunicazioni, il malware stabilisce la sua connessione di comando e controllo (C2) sulla porta TCP 443 tramite domini typosquat che imitano la legittima infrastruttura CDN di Microsoft. Il traffico è crittografato con AES-256-CBC e autenticato utilizzando token HMAC collegati al GUID e all'indirizzo MAC della macchina infetta, garantendo che solo gli operatori autorizzati possano interagire con il dispositivo compromesso.

Controllo remoto completo e manipolazione bancaria

Una volta eseguito, Banana RAT garantisce agli operatori il controllo diretto e interattivo sul sistema infetto. Gli aggressori possono trasmettere in streaming il desktop su più monitor in tempo reale, simulare l'input da tastiera e mouse e persino disabilitare temporaneamente i dispositivi di input della vittima mentre vengono eseguite transazioni bancarie non autorizzate in background.

Le capacità di sorveglianza del malware vanno oltre il controllo remoto. Un keylogger integrato registra continuamente le sequenze di tasti premuti in un buffer circolare che gli operatori possono recuperare su richiesta. È implementato anche il monitoraggio degli appunti, che consente agli aggressori di sostituire silenziosamente il contenuto copiato, inclusi gli indirizzi dei portafogli di criptovalute, con alternative controllate dall'autore della minaccia.

Una delle principali caratteristiche distintive di Banana RAT è il suo sistema di overlay incentrato sul settore bancario. Il malware monitora i titoli delle finestre del browser attive e li confronta con un elenco predefinito di 16 istituti finanziari brasiliani, tra cui Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal e Banco do Brasil, oltre alle piattaforme di scambio di criptovalute operanti in Brasile. Quando viene rilevata una corrispondenza, gli aggressori possono visualizzare overlay a schermo intero convincenti che imitano portali bancari legittimi o notifiche di Windows Update, mascherando le attività fraudolente che si svolgono dietro le quinte.

Dirottamento del codice QR di Pix e persistenza a lungo termine

Banana RAT include un sottosistema dedicato che prende di mira Pix, la piattaforma di pagamenti istantanei brasiliana. Caricando la libreria di elaborazione dei codici a barre ZXing in fase di esecuzione, il malware scansiona lo schermo della vittima alla ricerca di codici QR di Pix. Una volta rilevati, gli aggressori possono sostituire i codici QR di pagamento legittimi con versioni fraudolente che reindirizzano i fondi verso conti sotto il loro controllo. Tattiche simili di manipolazione dei codici QR sono state precedentemente osservate in trojan bancari brasiliani come Mekotio e CHAVECLOAK, rafforzando la classificazione di Banana RAT all'interno dell'ecosistema di malware Tetrade.

Per mantenere la sua persistenza, il malware crea una voce nascosta nell'Utilità di pianificazione di Windows, configurata per riavviare il payload di PowerShell ogni minuto per 9.999 giorni. L'attività pianificata viene eseguita con finestre nascoste e aggirando i criteri di esecuzione, impedendo la visualizzazione di prompt o finestre della console. Banana RAT si copia anche in directory progettate per assomigliare a percorsi di diagnostica legittimi di Microsoft, aiutandosi così a mimetizzarsi in posizioni di sistema attendibili ed eludere un'ispezione superficiale.

Principali modalità di somministrazione e segnali di allarme

Le campagne Banana RAT si basano principalmente sull'ingegneria sociale e su tecniche ingannevoli di distribuzione dei file. I metodi di infezione più comuni includono:

• Email di phishing contenenti allegati di fatture false o link di download dannosi.
• Messaggi WhatsApp e su piattaforme di chat contenenti documenti NF-e camuffati
• Download automatici da siti web compromessi e pubblicità dannose
• Software pirata, falsi aggiornamenti software e applicazioni crackate
• Formati di file dannosi come BAT, JavaScript, collegamenti LNK, archivi ZIP o RAR, documenti di Office, programmi di installazione EXE e pacchetti MSI.

Indicatori di compromissione e misure difensive

Banana RAT è stato specificamente progettato per rubare denaro agli utenti bancari brasiliani in tempo reale. La sua combinazione di accesso remoto in tempo reale, furto di credenziali, manipolazione di codici QR e sovrapposizioni di sistemi bancari consente agli aggressori di dirottare completamente le sessioni finanziarie, nascondendo al contempo le transazioni fraudolente alle vittime.

I potenziali indicatori di compromissione includono:

• Attività pianificate impreviste configurate per avviare comandi PowerShell nascosti
• Connessioni in uscita sospette su canali crittografati che simulano l'infrastruttura Microsoft.
• Comportamenti anomali del mouse o della tastiera durante le sessioni di online banking.
• Trasferimenti Pix non autorizzati o modifiche inspiegabili al portafoglio di criptovalute
• Processi PowerShell nascosti e attività anomale sui conti bancari

Qualsiasi sistema sospettato di infezione deve essere isolato immediatamente. Le credenziali bancarie salvate, il contenuto degli appunti, i token di autenticazione e le informazioni relative ai portafogli di criptovalute devono essere considerati compromessi e tutte le password e le credenziali di accesso finanziario associate devono essere reimpostate senza indugio.