Banana RAT

Banana RAT គឺជាមេរោគធនាគារពីចម្ងាយ (RAT) ដ៏ទំនើបមួយប្រភេទ ដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីកំណត់គោលដៅអ្នកប្រើប្រាស់នៅក្នុងប្រទេសប្រេស៊ីល។ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានសន្មតថាយុទ្ធនាការនេះទៅក្រុមគំរាមកំហែង SHADOW-WATER-063 ដែលមានទំនាក់ទំនងយ៉ាងជិតស្និទ្ធជាមួយប្រព័ន្ធអេកូឡូស៊ីមេរោគធនាគារ Tetrade ដ៏ល្បីល្បាញរបស់ប្រេស៊ីល។ ប្រព័ន្ធអេកូឡូស៊ីដ៏ទូលំទូលាយនេះរួមបញ្ចូលទាំងក្រុមគ្រួសារមេរោគល្បី ៗ ដូចជា Grandoreiro, Mekotio, Casbaneiro, Guildma និង CHAVECLOAK រួចហើយ។

មេរោគនេះផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងយ៉ាងទូលំទូលាយលើប្រព័ន្ធដែលឆ្លងមេរោគ ដែលអាចឱ្យមានការត្រួតពិនិត្យអេក្រង់ពេលវេលាជាក់ស្តែង ការគ្រប់គ្រងក្តារចុច និងកណ្តុរ ការកត់ត្រាការចុចគ្រាប់ចុច ការស្ទាក់ចាប់ក្ដារចុច និងការដាក់ពង្រាយអេក្រង់ធនាគារក្លែងក្លាយ ឬ Windows Update ដែលត្រូវបានរចនាឡើងដើម្បីលាក់បាំងសកម្មភាពហិរញ្ញវត្ថុក្លែងបន្លំ។ Banana RAT ផ្តោតយ៉ាងខ្លាំងលើការធ្វើឱ្យខូចដល់វគ្គធនាគារតាមអ៊ីនធឺណិត និងប្តូរទិសដៅប្រតិបត្តិការហិរញ្ញវត្ថុដោយមិនចាំបាច់ឱ្យជនរងគ្រោះកត់សម្គាល់។

ខ្សែសង្វាក់នៃការឆ្លងមេរោគ និងយុទ្ធសាស្ត្រគេចវេស

ជាទូទៅ ជនរងគ្រោះត្រូវបានគេបោកបញ្ឆោតឱ្យប្រតិបត្តិឯកសារបណ្តុំព្យាបាទមួយដែលមានឈ្មោះថា Consultar_NF-e.bat។ ឯកសារនេះត្រូវបានក្លែងបន្លំជាវិក្កយបត្រអេឡិចត្រូនិកប្រេស៊ីលស្របច្បាប់ ដែលគេស្គាល់ថាជា NF-e (Nota Fiscal Eletrônica) ដែលជាទម្រង់ដែលទទួលស្គាល់យ៉ាងទូលំទូលាយដោយអាជីវកម្មនានាទូទាំងប្រទេសប្រេស៊ីល។ ការចែកចាយជាធម្មតាកើតឡើងតាមរយៈសារ WhatsApp យុទ្ធនាការបន្លំ ឬតំណភ្ជាប់ព្យាបាទដែលបង្ហោះនៅលើដែនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

មេរោគ Banana RAT ដំណើរការដោយប្រើប្រាស់គំរូ Malware-as-a-Service ដែលពឹងផ្អែកលើអាងផ្ទុកទិន្នន័យពហុរូបភាពធំៗ។ ជំនួសឱ្យការផ្តល់គំរូមេរោគដូចគ្នា អ្នកវាយប្រហាររក្សាវ៉ារ្យ៉ង់ដែលបង្កើតជាមុនចន្លោះពី 100 ទៅ 200 ដែលវ៉ារ្យ៉ង់នីមួយៗត្រូវបានច្របល់បញ្ចូលគ្នាដើម្បីគេចពីវិធីសាស្ត្ររកឃើញដែលមានមូលដ្ឋានលើ hash។ បន្ទុកទិន្នន័យនីមួយៗត្រូវបានការពារដោយស្រទាប់ប្រាំបួននៃការបិទបាំង និងអ៊ិនគ្រីបដោយប្រើ AES-256។

នៅពេលដែលឯកសារបាច់ព្យាបាទត្រូវបានដាក់ឱ្យដំណើរការ កម្មវិធី PowerShell stager ទម្ងន់ស្រាលនឹងទាញយក payload ដំណាក់កាលទីពីរដែលបានអ៊ិនគ្រីបពីហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ។ payload ត្រូវបានឌិគ្រីបដោយផ្ទាល់នៅក្នុងអង្គចងចាំ ហើយត្រូវបានប្រតិបត្តិដោយមិនចាំបាច់សរសេរកូដដែលអាចអានបានទៅកាន់ថាស ដែលធ្វើឱ្យមេរោគពិបាករកឃើញយ៉ាងខ្លាំងសម្រាប់ដំណោះស្រាយកំចាត់មេរោគបែបប្រពៃណី។ ដើម្បីលាក់បាំងការទំនាក់ទំនងបន្ថែមទៀត មេរោគបង្កើតការតភ្ជាប់ Command-and-Control (C2) របស់វាតាមរយៈច្រក TCP 443 តាមរយៈដែនដែលមានកំហុសដែលធ្វើត្រាប់តាមហេដ្ឋារចនាសម្ព័ន្ធ CDN របស់ Microsoft ស្របច្បាប់។ ចរាចរណ៍ត្រូវបានអ៊ិនគ្រីបជាមួយ AES-256-CBC និងផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដោយប្រើថូខឹន HMAC ដែលភ្ជាប់ទៅនឹង GUID និងអាសយដ្ឋាន MAC របស់ម៉ាស៊ីនដែលឆ្លងមេរោគ ដោយធានាថាមានតែប្រតិបត្តិករដែលមានការអនុញ្ញាតប៉ុណ្ណោះដែលអាចធ្វើអន្តរកម្មជាមួយឧបករណ៍ដែលរងការសម្របសម្រួល។

ការបញ្ជាពីចម្ងាយពេញលេញ និងការរៀបចំធនាគារ

បន្ទាប់ពីការប្រតិបត្តិ មេរោគ Banana RAT ផ្តល់សិទ្ធិដល់ប្រតិបត្តិករក្នុងការគ្រប់គ្រងដោយផ្ទាល់ និងអន្តរកម្មលើប្រព័ន្ធដែលឆ្លងមេរោគ។ អ្នកវាយប្រហារអាចផ្សាយផ្ទៃតុឆ្លងកាត់ម៉ូនីទ័រច្រើនក្នុងពេលជាក់ស្តែង ធ្វើត្រាប់តាមការបញ្ចូលក្តារចុច និងកណ្តុរ ហើយថែមទាំងបិទឧបករណ៍បញ្ចូលរបស់ជនរងគ្រោះជាបណ្តោះអាសន្ន ខណៈពេលដែលប្រតិបត្តិការធនាគារដែលគ្មានការអនុញ្ញាតត្រូវបានអនុវត្តនៅផ្ទៃខាងក្រោយ។

សមត្ថភាពឃ្លាំមើលរបស់មេរោគនេះពង្រីកលើសពីការបញ្ជាពីចម្ងាយ។ កម្មវិធីកត់ត្រាគ្រាប់ចុចដែលរួមបញ្ចូលគ្នាកត់ត្រាការចុចគ្រាប់ចុចជាបន្តបន្ទាប់ទៅក្នុងសតិបណ្ដោះអាសន្នដែលប្រតិបត្តិករអាចទាញយកតាមតម្រូវការ។ ការត្រួតពិនិត្យ Clipboard ក៏ត្រូវបានអនុវត្តផងដែរ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារជំនួសខ្លឹមសារដែលបានចម្លងដោយស្ងៀមស្ងាត់ រួមទាំងអាសយដ្ឋានកាបូបរូបិយប័ណ្ណគ្រីបតូ ជាមួយនឹងជម្រើសផ្សេងទៀតដែលគ្រប់គ្រងដោយអ្នកគំរាមកំហែង។

លក្ខណៈពិសេសដ៏សំខាន់មួយរបស់ Banana RAT គឺប្រព័ន្ធ overlay ដែលផ្តោតលើធនាគាររបស់វា។ មេរោគនេះតាមដានចំណងជើងបង្អួចកម្មវិធីរុករកសកម្ម ហើយប្រៀបធៀបវាទៅនឹងបញ្ជី hardcoded នៃស្ថាប័នហិរញ្ញវត្ថុប្រេស៊ីលចំនួន 16 រួមមាន Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal និង Banco do Brasil រួមជាមួយនឹងវេទិកាផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូដែលប្រតិបត្តិការនៅក្នុងប្រទេសប្រេស៊ីល។ នៅពេលដែលការផ្គូផ្គងត្រូវបានរកឃើញ អ្នកវាយប្រហារអាចដាក់ពង្រាយ full-screen overlays ដែលគួរឱ្យជឿជាក់ដែលធ្វើត្រាប់តាមវិបផតថលធនាគារស្របច្បាប់ ឬការជូនដំណឹង Windows Update ដោយបិទបាំងសកម្មភាពក្លែងបន្លំដែលកំពុងកើតឡើងនៅពីក្រោយឆាក។

ការលួចយកលេខកូដ Pix QR និងការតស៊ូយូរអង្វែង

Banana RAT រួមបញ្ចូលប្រព័ន្ធរងដែលឧទ្ទិសដល់ Pix ដែលជាវេទិកាទូទាត់ប្រាក់ភ្លាមៗរបស់ប្រទេសប្រេស៊ីល។ តាមរយៈការផ្ទុកបណ្ណាល័យដំណើរការបាកូដ ZXing នៅពេលដំណើរការ មេរោគនឹងស្កេនអេក្រង់របស់ជនរងគ្រោះសម្រាប់លេខកូដ Pix QR។ នៅពេលដែលរកឃើញ អ្នកវាយប្រហារអាចជំនួសលេខកូដ QR ទូទាត់ប្រាក់ស្របច្បាប់ជាមួយនឹងកំណែក្លែងបន្លំដែលបញ្ជូនប្រាក់ទៅកាន់គណនីដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់ពួកគេ។ យុទ្ធសាស្ត្ររៀបចំលេខកូដ QR ស្រដៀងគ្នានេះត្រូវបានគេសង្កេតឃើញពីមុននៅក្នុងមេរោគ Trojans ធនាគារប្រេស៊ីលដូចជា Mekotio និង CHAVECLOAK ដែលពង្រឹងចំណាត់ថ្នាក់របស់ Banana RAT នៅក្នុងប្រព័ន្ធអេកូឡូស៊ីមេរោគ Tetrade។

ដើម្បីរក្សាភាពស្ថិតស្ថេរ មេរោគនេះបង្កើតធាតុ Windows Task Scheduler ដែលលាក់កំបាំងដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីបើកដំណើរការ PowerShell payload ឡើងវិញរៀងរាល់នាទីរយៈពេល 9,999 ថ្ងៃ។ ភារកិច្ចដែលបានកំណត់ពេលប្រតិបត្តិជាមួយបង្អួចដែលលាក់ និងរំលងគោលការណ៍ប្រតិបត្តិ ដែលការពារការលេចឡើងនៃប្រអប់បញ្ចូលដែលអាចមើលឃើញ ឬបង្អួចកុងសូល។ Banana RAT ក៏ចម្លងខ្លួនវាទៅក្នុងថតដែលត្រូវបានរចនាឡើងដើម្បីឱ្យស្រដៀងនឹងផ្លូវវិនិច្ឆ័យរបស់ Microsoft ស្របច្បាប់ ដោយជួយឱ្យវាលាយបញ្ចូលគ្នាទៅក្នុងទីតាំងប្រព័ន្ធដែលទុកចិត្ត និងគេចវេះការត្រួតពិនិត្យធម្មតា។

វិធីសាស្រ្តដឹកជញ្ជូនបឋម និងសញ្ញាព្រមាន

យុទ្ធនាការ Banana RAT ពឹងផ្អែកជាចម្បងលើវិស្វកម្មសង្គម និងបច្ចេកទេសចែកចាយឯកសារបោកប្រាស់។ វិធីសាស្ត្រឆ្លងមេរោគទូទៅរួមមាន៖

• អ៊ីមែលបន្លំដែលមានឯកសារភ្ជាប់វិក្កយបត្រក្លែងក្លាយ ឬតំណភ្ជាប់ទាញយកដែលមានគំនិតអាក្រក់
• សារ WhatsApp និងវេទិកាជជែកដែលមានឯកសារ NF-e ក្លែងបន្លំ
• ការទាញយកតាម Drive-by ពីគេហទំព័រដែលរងការលួចចូល និងការផ្សាយពាណិជ្ជកម្មដែលមានគំនិតអាក្រក់
• កម្មវិធីលួចចម្លង ការអាប់ដេតកម្មវិធីក្លែងក្លាយ និងកម្មវិធីដែលបាន crack
• ទម្រង់ឯកសារព្យាបាទដូចជា BAT, JavaScript, ផ្លូវកាត់ LNK, បណ្ណសារ ZIP ឬ RAR, ឯកសារ Office, កម្មវិធីដំឡើង EXE និងកញ្ចប់ MSI

សូចនាករនៃការសម្របសម្រួល និងវិធានការការពារ

មេរោគ Banana RAT ត្រូវបានរចនាឡើងជាពិសេសដើម្បីលួចប្រាក់ពីអ្នកប្រើប្រាស់ធនាគារប្រេស៊ីលក្នុងពេលវេលាជាក់ស្តែង។ ការរួមបញ្ចូលគ្នានៃការចូលប្រើពីចម្ងាយផ្ទាល់ ការលួចព័ត៌មានសម្ងាត់ ការរៀបចំលេខកូដ QR និងការត្រួតស៊ីគ្នាលើធនាគារអនុញ្ញាតឱ្យអ្នកវាយប្រហារលួចយកវគ្គហិរញ្ញវត្ថុទាំងស្រុង ខណៈពេលដែលលាក់បាំងប្រតិបត្តិការក្លែងបន្លំពីជនរងគ្រោះ។

សូចនាករដែលអាចកើតមាននៃការសម្របសម្រួលរួមមាន៖

• ភារកិច្ចដែលបានកំណត់ពេលដែលមិននឹកស្មានដល់ត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីបើកដំណើរការពាក្យបញ្ជា PowerShell ដែលលាក់
• ការតភ្ជាប់ចេញគួរឱ្យសង្ស័យលើឆានែលដែលបានអ៊ិនគ្រីបដែលក្លែងបន្លំជាហេដ្ឋារចនាសម្ព័ន្ធ Microsoft
• ឥរិយាបថមិនធម្មតារបស់កណ្ដុរ ឬក្តារចុចអំឡុងពេលវគ្គធនាគារតាមអ៊ីនធឺណិត
• ការផ្ទេរ Pix ដោយគ្មានការអនុញ្ញាត ឬការផ្លាស់ប្តូរកាបូបរូបិយប័ណ្ណគ្រីបតូដែលមិនអាចពន្យល់បាន
• ដំណើរការ PowerShell ដែលលាក់ និងសកម្មភាពគណនីធនាគារមិនប្រក្រតី

ប្រព័ន្ធណាមួយដែលសង្ស័យថាមានការឆ្លងមេរោគគួរតែត្រូវបានញែកចេញជាបន្ទាន់។ ព័ត៌មានសម្ងាត់ធនាគារដែលបានរក្សាទុក ខ្លឹមសារក្ដារតម្បៀតខ្ទាស់ ថូខឹនផ្ទៀងផ្ទាត់ និងព័ត៌មានកាបូបលុយឌីជីថលគួរតែត្រូវបានចាត់ទុកថាជាការលួចចូល ហើយពាក្យសម្ងាត់ និងព័ត៌មានសម្ងាត់ចូលប្រើហិរញ្ញវត្ថុដែលពាក់ព័ន្ធទាំងអស់គួរតែត្រូវបានកំណត់ឡើងវិញភ្លាមៗ។