Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa Bananų žiurkė

Bananų žiurkė

Autorius Mezo, Kenkėjiška programa, Nuotolinio administravimo įrankiai
Versti į:

„Banana RAT“ yra sudėtingas bankininkystės nuotolinės prieigos Trojos arklys (RAT), specialiai sukurtas atakoms Brazilijos vartotojams. Saugumo tyrėjai šią kampaniją priskiria grėsmių grupei SHADOW-WATER-063, kuri yra glaudžiai susijusi su liūdnai pagarsėjusia Brazilijos bankininkystės kenkėjiškų programų „Tetrade“ ekosistema. Ši platesnė ekosistema jau apima gerai žinomas kenkėjiškų programų šeimas, tokias kaip „Grandoreiro“, „Mekotio“, „Casbaneiro“, „Guildma“ ir „CHAVECLOAK“.

Kenkėjiška programa suteikia užpuolikams plačią užkrėstų sistemų kontrolę, įgalindama realaus laiko ekrano stebėjimą, klaviatūros ir pelės manipuliavimą, klavišų paspaudimų registravimą, iškarpinių perėmimą ir netikrų bankininkystės ar „Windows Update“ ekranų, skirtų apgaulingai finansinei veiklai nuslėpti, diegimą. „Banana RAT“ daugiausia dėmesio skiria internetinės bankininkystės sesijų sutrikdymui ir finansinių operacijų nukreipimui aukai nepastebint.

Infekcijos grandinė ir vengimo taktika

Aukos dažnai apgaule įkvepiamos paleisti kenkėjišką paketinį failą pavadinimu „Consultar_NF-e.bat“. Šis failas užmaskuotas kaip teisėta Brazilijos elektroninė sąskaita faktūra, žinoma kaip NF-e (Nota Fiscal Eletrônica) – formatas, plačiai atpažįstamas įmonių visoje Brazilijoje. Paprastai jis platinamas per „WhatsApp“ žinutes, sukčiavimo kampanijas arba kenkėjiškas nuorodas, patalpintas užpuolikų kontroliuojamuose domenuose.

„Banana RAT“ veikia naudodamas „malware-as-a-Service“ modelį, kuris remiasi dideliais polimorfinių naudingųjų programų telkiniais. Užuot pateikę identiškus kenkėjiškų programų pavyzdžius, užpuolikai palaiko nuo 100 iki 200 iš anksto sugeneruotų variantų, kurių kiekvienas unikaliai užšifruotas, kad būtų išvengta maišos pagrindu veikiančių aptikimo metodų. Kiekvienas naudingas paketas yra apsaugotas devyniais kodavimo sluoksniais ir užšifruotas naudojant AES-256.

Paleidus kenkėjišką paketinį failą, lengvas „PowerShell“ scenarijus atsisiunčia užšifruotą antrojo etapo paketinį failą iš užpuoliko infrastruktūros. Naudingasis failas iššifruojamas tiesiai atmintyje ir vykdomas neįrašant skaitomo kodo į diską, todėl tradicinėms antivirusinėms sistemoms kenkėjišką programą aptikti yra gerokai sunkiau. Siekdama dar labiau nuslėpti ryšį, kenkėjiška programa užmezga „Command-and-Control“ (C2) ryšį per TCP 443 prievadą, naudodama tipografinius užšifruotus domenus, kurie imituoja teisėtą „Microsoft CDN“ infrastruktūrą. Srautas šifruojamas naudojant AES-256-CBC ir autentifikuojamas naudojant HMAC žetonus, susietus su užkrėsto kompiuterio GUID ir MAC adresu, užtikrinant, kad su pažeistu įrenginiu galėtų sąveikauti tik įgalioti operatoriai.

Visiškas nuotolinis valdymas ir bankininkystės manipuliavimas

Po vykdymo „Banana RAT“ suteikia operatoriams tiesioginę ir interaktyvią užkrėstos sistemos kontrolę. Užpuolikai gali realiuoju laiku transliuoti darbalaukio vaizdą keliuose monitoriuose, imituoti klaviatūros ir pelės įvestį ir netgi laikinai išjungti aukos įvesties įrenginius, kol fone atliekamos neautorizuotos banko operacijos.

Kenkėjiškos programos stebėjimo galimybės neapsiriboja nuotoliniu valdymu. Integruotas klavišų paspaudimų registratorius nuolat įrašo klavišų paspaudimus į žiedinę buferinę atmintį, kurią operatoriai gali peržiūrėti pagal poreikį. Taip pat įdiegta iškarpinių stebėsena, leidžianti užpuolikams tyliai pakeisti nukopijuotą turinį, įskaitant kriptovaliutų piniginių adresus, alternatyvomis, kurias kontroliuoja grėsmės veikėjas.

Pagrindinis „Banana RAT“ skiriamasis bruožas yra bankininkystės sistemoms skirta perdengimo sistema. Kenkėjiška programa stebi aktyvių naršyklės langų pavadinimus ir lygina juos su 16 Brazilijos finansų įstaigų, įskaitant „Itaú Unibanco“, „Bradesco“, „Santander Brasil“, „Caixa Econômica Federal“ ir „Banco do Brasil“, bei Brazilijoje veikiančių kriptovaliutų keityklų platformų, sąrašu. Aptikus atitikmenį, užpuolikai gali naudoti įtikinamus viso ekrano perdengimus, kurie imituoja teisėtus bankininkystės portalus arba „Windows Update“ pranešimus, užmaskuodami nesąžiningus veiksmus, vykdomus užkulisiuose.

„Pix“ QR kodo užgrobimas ir ilgalaikis išlikimas

„Banana RAT“ apima specialią posistemę, skirtą „Pix“ – Brazilijos momentinių mokėjimų platformai. Įkeldama „ZXing“ brūkšninių kodų apdorojimo biblioteką vykdymo metu, kenkėjiška programa nuskaito aukos ekraną, ieškodama „Pix“ QR kodų. Aptikę užpuolikai gali teisėtus mokėjimo QR kodus pakeisti suklastotomis versijomis, kurios nukreipia lėšas į jų kontroliuojamas sąskaitas. Panaši QR kodų manipuliavimo taktika anksčiau buvo pastebėta Brazilijos bankų Trojos arkliuose, tokiuose kaip „Mekotio“ ir „CHAVECLOAK“, o tai sustiprina „Banana RAT“ klasifikaciją „Tetrade“ kenkėjiškų programų ekosistemoje.

Siekdama išlaikyti atsparumą pažeidimams, kenkėjiška programa sukuria paslėptą „Windows“ užduočių planuoklės įrašą, sukonfigūruotą taip, kad 9999 dienas kas minutę iš naujo paleistų „PowerShell“ paketą. Suplanuota užduotis vykdoma paslėptais langais ir apeinant vykdymo politiką, todėl nepasirodo matomi raginimai ar konsolės langai. „Banana RAT“ taip pat kopijuoja save į katalogus, sukurtus taip, kad primintų teisėtus „Microsoft“ diagnostikos kelius, padėdama jai susilieti su patikimomis sistemos vietomis ir išvengti atsitiktinio patikrinimo.

Pagrindiniai pristatymo būdai ir įspėjamieji ženklai

„Banana RAT“ kampanijos daugiausia remiasi socialine inžinerija ir apgaulingais failų pristatymo metodais. Įprasti užkrėtimo metodai:

  • Sukčiavimo el. laiškai su netikrais sąskaitų faktūrų priedais arba kenkėjiškomis atsisiuntimo nuorodomis
  • „WhatsApp“ ir pokalbių platformų žinutės su užmaskuotais NF-e dokumentais
  • Automatiniai atsisiuntimai iš pažeistų svetainių ir kenkėjiškų reklamų
  • Piratinė programinė įranga, netikri programinės įrangos atnaujinimai ir nulaužtos programos
  • Kenkėjiški failų formatai, pvz., BAT, „JavaScript“, LNK spartieji klavišai, ZIP arba RAR archyvai, „Office“ dokumentai, EXE diegimo programos ir MSI paketai

Kompromisinių ir gynybinių priemonių rodikliai

„Banana RAT“ yra specialiai sukurta tam, kad realiuoju laiku vogtų pinigus iš Brazilijos bankų naudotojų. Jo tiesioginės nuotolinės prieigos, kredencialų vagystės, QR kodo manipuliavimo ir bankininkystės perdangų derinys leidžia užpuolikams visiškai užgrobti finansines sesijas, tuo pačiu slepiant nuo aukų nesąžiningas operacijas.

Galimi kompromiso požymiai:

  • Netikėtos suplanuotos užduotys, sukonfigūruotos paleisti paslėptas „PowerShell“ komandas
  • Įtartini išeinantys ryšiai per užšifruotus kanalus, apsimetantys „Microsoft“ infrastruktūra
  • Neįprastas pelės ar klaviatūros elgesys internetinės bankininkystės seansų metu
  • Neleistini „Pix“ pervedimai arba nepaaiškinami kriptovaliutų piniginės pakeitimai
  • Paslėpti „PowerShell“ procesai ir neįprasta banko sąskaitos veikla

Bet kuri įtariama užkrėsta sistema turėtų būti nedelsiant izoliuota. Išsaugoti banko prisijungimo duomenys, iškarpinės turinys, autentifikavimo žetonai ir kriptovaliutų piniginės informacija turėtų būti laikomi pažeistais, o visi susiję slaptažodžiai ir finansinės prieigos prisijungimo duomenys turėtų būti nedelsiant nustatyti iš naujo.

Tendencijos

Saugos naujinimas, skirtas atpažinti patikimus...

Sukčiavimas, Šlamštas
Į netikėtus el. laiškus, reikalaujančius skubių veiksmų, visada reikėtų žiūrėti atsargiai, ypač kai juose yra paskyros saugumo įspėjimų arba prašymų patikrinti asmeninę informaciją. Kibernetiniai nusikaltėliai dažnai maskuoja sukčiavimo pranešimus kaip oficialius pranešimus, kad manipuliuotų gavėjais ir priverstų juos atskleisti neskelbtinus duomenis. El. laiškai „Saugos naujinys, skirtas...

Labiausiai žiūrima

Įkeliama...