Banana RAT

Banana RAT은 브라질 사용자를 표적으로 삼도록 특별히 설계된 정교한 뱅킹 원격 접속 트로이목마(RAT)입니다. 보안 연구원들은 이 공격 캠페인을 브라질의 악명 높은 Tetrade 뱅킹 악성코드 생태계와 밀접한 관련이 있는 위협 그룹인 SHADOW-WATER-063의 소행으로 보고 있습니다. 이 광범위한 생태계에는 Grandoreiro, Mekotio, Casbaneiro, Guildma, CHAVECLOAK 등과 같은 잘 알려진 악성코드 계열이 포함되어 있습니다.

이 악성 프로그램은 공격자에게 감염된 시스템에 대한 광범위한 제어 권한을 제공하여 실시간 화면 모니터링, 키보드 및 마우스 조작, 키 입력 기록, 클립보드 가로채기, 그리고 사기성 금융 활동을 숨기기 위해 설계된 가짜 뱅킹 또는 윈도우 업데이트 화면 배포 등을 가능하게 합니다. Banana RAT는 특히 온라인 뱅킹 세션을 침해하고 피해자가 알아채지 못하게 금융 거래를 우회하는 데 중점을 둡니다.

감염 사슬 및 회피 전술

피해자들은 흔히 Consultar_NF-e.bat이라는 악성 배치 파일을 실행하도록 속아 넘어갑니다. 이 파일은 브라질에서 널리 사용되는 전자 세금계산서인 NF-e(Nota Fiscal Eletrônica)로 위장되어 있습니다. 유포 경로는 주로 WhatsApp 메시지, 피싱 캠페인, 또는 공격자가 관리하는 도메인에 있는 악성 링크 등이 있습니다.

Banana RAT은 대규모의 다양한 페이로드 풀에 의존하는 서비스형 악성코드(Malware-as-a-Service) 모델을 사용합니다. 공격자는 동일한 악성코드 샘플을 배포하는 대신, 해시 기반 탐지 방법을 회피하기 위해 각각 고유하게 암호화된 100~200개의 사전 생성된 변종을 보유하고 있습니다. 모든 페이로드는 9단계의 난독화로 보호되며 AES-256으로 암호화됩니다.

악성 배치 파일이 실행되면 경량 PowerShell 스테이저가 공격자의 인프라에서 암호화된 2단계 페이로드를 다운로드합니다. 페이로드는 메모리에서 직접 복호화되어 디스크에 읽을 수 있는 코드를 기록하지 않고 실행되므로 기존 안티바이러스 솔루션으로 탐지하기가 훨씬 어려워집니다. 통신을 더욱 은폐하기 위해 악성코드는 정식 Microsoft CDN 인프라를 모방한 도메인을 통해 TCP 포트 443에서 명령 및 제어(C2) 연결을 설정합니다. 트래픽은 AES-256-CBC로 암호화되고 감염된 시스템의 GUID 및 MAC 주소에 연결된 HMAC 토큰을 사용하여 인증되므로 권한이 있는 운영자만 감염된 장치와 상호 작용할 수 있습니다.

완전 원격 제어 및 은행 거래 조작

Banana RAT는 실행 후 감염된 시스템에 대한 직접적이고 상호 작용적인 제어 권한을 운영자에게 부여합니다. 공격자는 데스크톱 화면을 여러 모니터에 실시간으로 스트리밍하고, 키보드와 마우스 입력을 시뮬레이션하며, 심지어 피해자의 입력 장치를 일시적으로 비활성화한 상태에서 백그라운드에서 무단 금융 거래를 수행할 수도 있습니다.

해당 악성 소프트웨어의 감시 기능은 원격 제어를 넘어섭니다. 통합된 키로거는 키 입력을 링 버퍼에 지속적으로 기록하며, 운영자는 필요에 따라 이를 검색할 수 있습니다. 클립보드 모니터링 기능 또한 구현되어 있어 공격자는 복사된 콘텐츠(암호화폐 지갑 주소 포함)를 공격자가 제어하는 다른 내용으로 은밀하게 교체할 수 있습니다.

Banana RAT의 주요 특징 중 하나는 은행을 표적으로 삼은 오버레이 시스템입니다. 이 악성 프로그램은 활성화된 브라우저 창 제목을 모니터링하고, 브라질 금융 기관 16곳(Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal, Banco do Brasil 등)과 브라질에서 운영되는 암호화폐 거래 플랫폼 목록과 비교합니다. 일치하는 항목이 발견되면 공격자는 합법적인 은행 포털이나 Windows 업데이트 알림처럼 보이는 전체 화면 오버레이를 표시하여, 실제 사기 행위를 은폐합니다.

Pix QR 코드 하이재킹 및 장기 지속성

Banana RAT는 브라질의 즉시 결제 플랫폼인 Pix를 표적으로 삼는 전용 하위 시스템을 포함하고 있습니다. 이 악성 프로그램은 런타임에 ZXing 바코드 처리 라이브러리를 로드하여 피해자의 화면에서 Pix QR 코드를 스캔합니다. QR 코드가 감지되면 공격자는 정상적인 결제 QR 코드를 사기성 코드로 바꿔치기하여 자신들이 통제하는 계좌로 자금을 이체할 수 있습니다. 이와 유사한 QR 코드 조작 수법은 Mekotio 및 CHAVECLOAK와 같은 브라질 은행 트로이목마에서도 이전에 관찰된 바 있으며, 이는 Banana RAT가 Tetrade 악성 프로그램 생태계에 속한다는 것을 뒷받침합니다.

지속성을 유지하기 위해, 이 악성 프로그램은 숨겨진 Windows 작업 스케줄러 항목을 생성하여 9,999일 동안 매분마다 PowerShell 페이로드를 다시 실행하도록 설정합니다. 예약된 작업은 숨겨진 창과 우회된 실행 정책을 사용하여 실행되므로, 눈에 보이는 프롬프트나 콘솔 창이 나타나지 않습니다. 또한 Banana RAT는 정식 Microsoft 진단 경로와 유사하게 설계된 디렉터리에 자신을 복사하여 신뢰할 수 있는 시스템 위치에 위장하고 일반적인 검사를 회피합니다.

주요 분만 방법 및 경고 신호

Banana RAT 캠페인은 주로 소셜 엔지니어링과 기만적인 파일 전달 기법에 의존합니다. 일반적인 감염 방법은 다음과 같습니다.

• 가짜 청구서 첨부 파일이나 악성 다운로드 링크가 포함된 피싱 이메일
• NF-e 문서를 위장한 WhatsApp 및 채팅 플랫폼 메시지
• 해킹된 웹사이트 및 악성 광고를 통한 드라이브 바이 다운로드
• 불법 복제 소프트웨어, 가짜 소프트웨어 업데이트 및 크랙된 애플리케이션
• BAT, JavaScript, LNK 바로가기, ZIP 또는 RAR 압축 파일, Office 문서, EXE 설치 프로그램 및 MSI 패키지와 같은 악성 파일 형식

침해 징후 및 방어 조치

Banana RAT는 브라질 은행 이용자로부터 실시간으로 돈을 훔치도록 특별히 설계되었습니다. 실시간 원격 접속, 계정 정보 탈취, QR 코드 조작, 은행 시스템 위장 등의 기능을 결합하여 공격자는 피해자에게 사기 거래를 숨긴 채 금융 거래 세션을 완전히 장악할 수 있습니다.

정보 유출 가능성을 나타내는 잠재적 지표는 다음과 같습니다.

• 예기치 않게 예약된 작업이 숨겨진 PowerShell 명령을 실행하도록 구성되었습니다.
• 암호화된 채널을 통해 마이크로소프트 인프라를 사칭하는 의심스러운 외부 연결이 감지되었습니다.
• 온라인 뱅킹 이용 중 마우스 또는 키보드의 비정상적인 동작
• 승인되지 않은 Pix 전송 또는 설명할 수 없는 암호화폐 지갑 변경
• 숨겨진 PowerShell 프로세스 및 비정상적인 은행 계좌 활동

감염이 의심되는 시스템은 즉시 격리해야 합니다. 저장된 은행 계좌 정보, 클립보드 내용, 인증 토큰 및 암호화폐 지갑 정보는 유출된 것으로 간주하고, 관련된 모든 비밀번호와 금융 정보 접근 권한을 즉시 재설정해야 합니다.