Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra Banana RAT

Banana RAT

Līdz Mezo. gadam Ļaunprātīga programmatūra, Attālās administrēšanas rīki. gadā
Tulkot uz:

Banana RAT ir sarežģīts banku attālās piekļuves Trojas zirgs (RAT), kas īpaši izstrādāts, lai uzbruktu lietotājiem Brazīlijā. Drošības pētnieki šo kampaņu saista ar apdraudējumu grupu SHADOW-WATER-063, kas ir cieši saistīta ar Brazīlijas bēdīgi slaveno Tetrade banku ļaunprogrammatūras ekosistēmu. Šajā plašākajā ekosistēmā jau ietilpst labi pazīstamas ļaunprogrammatūras saimes, piemēram, Grandoreiro, Mekotio, Casbaneiro, Guildma un CHAVECLOAK.

Ļaunprogrammatūra nodrošina uzbrucējiem plašu kontroli pār inficētajām sistēmām, nodrošinot ekrāna uzraudzību reāllaikā, tastatūras un peles manipulācijas, taustiņsitienu reģistrēšanu, starpliktuves pārtveršanu un viltotu banku vai Windows Update ekrānu izvietošanu, kas paredzēti, lai slēptu krāpnieciskas finanšu darbības. Banana RAT galvenokārt koncentrējas uz tiešsaistes banku sesiju apdraudēšanu un finanšu darījumu novirzīšanu, upurim to nepamanot.

Infekcijas ķēde un izvairīšanās taktika

Cietušie bieži tiek apmānīti, lai izpildītu ļaunprātīgu pakešfailu ar nosaukumu Consultar_NF-e.bat. Fails ir maskēts kā likumīgs Brazīlijas elektroniskais rēķins, kas pazīstams kā NF-e (Nota Fiscal Eletrônica) — formāts, ko plaši atpazīst uzņēmumi visā Brazīlijā. Izplatīšana parasti notiek, izmantojot WhatsApp ziņojumus, pikšķerēšanas kampaņas vai ļaunprātīgas saites, kas tiek mitinātas uzbrucēju kontrolētos domēnos.

Banana RAT darbojas, izmantojot ļaunprogrammatūras kā pakalpojuma modeli, kas balstās uz lieliem polimorfisku vērtumu kopumiem. Tā vietā, lai piegādātu identiskus ļaunprogrammatūras paraugus, uzbrucēji uztur no 100 līdz 200 iepriekš ģenerētiem variantiem, katrs no tiem ir unikāli sajaukts, lai apietu uz jaucējkodu balstītas noteikšanas metodes. Katru vērtumu aizsargā deviņi slēpšanas slāņi un šifrē, izmantojot AES-256.

Kad ļaunprātīgais pakešfails ir palaists, viegls PowerShell pārbaudītājs no uzbrucēja infrastruktūras lejupielādē šifrēto otrās pakāpes vērtumu. Vērtums tiek atšifrēts tieši atmiņā un izpildīts, nerakstot lasāmu kodu diskā, tādējādi tradicionālajiem pretvīrusu risinājumiem ievērojami grūtāk atklāt ļaunprogrammatūru. Lai vēl vairāk slēptu saziņu, ļaunprogrammatūra izveido savu Command-and-Control (C2) savienojumu, izmantojot TCP portu 443, izmantojot typosquattētus domēnus, kas atdarina likumīgu Microsoft CDN infrastruktūru. Datplūsma tiek šifrēta ar AES-256-CBC un autentificēta, izmantojot HMAC žetonus, kas saistīti ar inficētās ierīces GUID un MAC adresi, nodrošinot, ka ar apdraudēto ierīci var mijiedarboties tikai pilnvaroti operatori.

Pilnīga tālvadības pults un banku manipulācijas

Pēc izpildes Banana RAT piešķir operatoriem tiešu un interaktīvu kontroli pār inficēto sistēmu. Uzbrucēji var straumēt darbvirsmu vairākos monitoros reāllaikā, simulēt tastatūras un peles ievadi un pat īslaicīgi atspējot upura ievades ierīces, kamēr fonā tiek veiktas neatļautas bankas transakcijas.

Ļaunprogrammatūras uzraudzības iespējas sniedzas tālāk par attālo kontroli. Integrēts taustiņu reģistrētājs nepārtraukti ieraksta taustiņu nospiedumus gredzenveida buferī, ko operatori var izgūt pēc pieprasījuma. Ir ieviesta arī starpliktuves uzraudzība, kas ļauj uzbrucējiem nemanāmi aizstāt kopēto saturu, tostarp kriptovalūtas maku adreses, ar alternatīvām, ko kontrolē apdraudējuma izpildītājs.

Banana RAT galvenā atšķirīgā iezīme ir tās banku darbībai paredzētā pārklājuma sistēma. Ļaunprogrammatūra uzrauga aktīvo pārlūkprogrammas logu nosaukumus un salīdzina tos ar 16 Brazīlijas finanšu iestāžu, tostarp Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal un Banco do Brasil, kā arī Brazīlijā darbojošos kriptovalūtu apmaiņas platformu, cietkodētu sarakstu. Kad tiek konstatēta atbilstība, uzbrucēji var izvietot pārliecinošus pilnekrāna pārklājumus, kas imitē likumīgus banku portālus vai Windows Update paziņojumus, maskējot krāpnieciskas darbības, kas notiek aizkulisēs.

Pix QR koda nolaupīšana un ilgstoša noturība

Banana RAT ietver īpašu apakšsistēmu, kas vērsta pret Pix, Brazīlijas tūlītējo maksājumu platformu. Ielādējot ZXing svītrkodu apstrādes bibliotēku izpildes laikā, ļaunprogrammatūra skenē upura ekrānu, meklējot Pix QR kodus. Pēc atklāšanas uzbrucēji var aizstāt likumīgus maksājumu QR kodus ar krāpnieciskām versijām, kas novirza līdzekļus uz viņu kontrolētajiem kontiem. Līdzīga QR kodu manipulācijas taktika iepriekš ir novērota Brazīlijas banku Trojas zirgos, piemēram, Mekotio un CHAVECLOAK, kas pastiprina Banana RAT klasifikāciju Tetrade ļaunprogrammatūras ekosistēmā.

Lai saglabātu noturību, ļaunprogrammatūra izveido slēptu Windows uzdevumu plānotāja ierakstu, kas konfigurēts tā, lai 9999 dienas katru minūti atkārtoti palaistu PowerShell lietderīgo slodzi. Plānotais uzdevums tiek izpildīts ar slēptiem logiem un apiet izpildes politikas, neļaujot parādīties redzamām uzvednēm vai konsoles logiem. Banana RAT arī kopē sevi direktorijās, kas veidotas, lai atgādinātu likumīgus Microsoft diagnostikas ceļus, palīdzot tai saplūst ar uzticamām sistēmas atrašanās vietām un izvairīties no nejaušas pārbaudes.

Galvenās piegādes metodes un brīdinājuma zīmes

Banana RAT kampaņas galvenokārt balstās uz sociālo inženieriju un maldinošām failu piegādes metodēm. Izplatītākās inficēšanas metodes ir:

  • Pikšķerēšanas e-pasti ar viltotiem rēķinu pielikumiem vai ļaunprātīgām lejupielādes saitēm
  • WhatsApp un tērzēšanas platformu ziņojumi, kas satur maskētus NF-e dokumentus
  • Ātras lejupielādes no apdraudētām tīmekļa vietnēm un ļaunprātīgām reklāmām
  • Pirātiska programmatūra, viltoti programmatūras atjauninājumi un uzlauztas lietojumprogrammas
  • Ļaunprātīgi failu formāti, piemēram, BAT, JavaScript, LNK saīsnes, ZIP vai RAR arhīvi, Office dokumenti, EXE instalētāji un MSI pakotnes

Kompromisa un aizsardzības pasākumu rādītāji

Banana RAT ir īpaši izstrādāts, lai reāllaikā zagtu naudu no Brazīlijas banku lietotājiem. Tā tiešraides attālās piekļuves, akreditācijas datu zādzības, QR koda manipulācijas un banku pārklājumu kombinācija ļauj uzbrucējiem pilnībā nolaupīt finanšu sesijas, vienlaikus slēpjot krāpnieciskus darījumus no upuriem.

Iespējamās kompromisa pazīmes ir šādas:

  • Negaidīti ieplānotie uzdevumi, kas konfigurēti, lai palaistu slēptās PowerShell komandas
  • Aizdomīgi izejošie savienojumi šifrētos kanālos, kas iemieso Microsoft infrastruktūru
  • Neparasta peles vai tastatūras darbība tiešsaistes bankas sesiju laikā
  • Neatļautas Pix pārskaitījumi vai neizskaidrojamas kriptovalūtas maka izmaiņas
  • Slēptie PowerShell procesi un neparasta bankas konta aktivitāte

Jebkura sistēma, par kuru ir aizdomas par inficēšanos, nekavējoties jāizolē. Saglabātie bankas akreditācijas dati, starpliktuves saturs, autentifikācijas žetoni un kriptovalūtas maka informācija jāuzskata par apdraudētu, un visas saistītās paroles un finanšu piekļuves akreditācijas dati nekavējoties jāatiestata.

Tendences

Drošības atjauninājums uzticamu ierīču un atrašanās...

Pikšķerēšana, Mēstules
Ar negaidītiem e-pastiem, kas prasa steidzamu rīcību, vienmēr jāizturas piesardzīgi, īpaši, ja tie ietver konta drošības brīdinājumus vai pieprasījumus pārbaudīt personas informāciju. Kibernoziedznieki bieži maskē pikšķerēšanas ziņojumus kā oficiālus paziņojumus, lai manipulētu ar saņēmējiem, panāktu sensitīvu datu atklāšanu. E-pasti “Drošības atjauninājums uzticamu ierīču un atrašanās vietu...

Visvairāk skatīts

Notiek ielāde...