Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Banana RAT

Banana RAT

Menjelang Mezo pada perisian hasad, Alat Pentadbiran Jauh
Terjemahkan ke

Banana RAT ialah Trojan Akses Jauh (RAT) perbankan canggih yang direka bentuk khusus untuk menyasarkan pengguna di Brazil. Penyelidik keselamatan mengaitkan kempen ini dengan kumpulan ancaman SHADOW-WATER-063, yang berkait rapat dengan ekosistem perisian hasad perbankan Tetrade yang terkenal di Brazil. Ekosistem yang lebih luas ini sudah merangkumi keluarga perisian hasad yang terkenal seperti Grandoreiro, Mekotio, Casbaneiro, Guildma dan CHAVECLOAK.

Perisian hasad ini memberikan penyerang kawalan yang meluas ke atas sistem yang dijangkiti, membolehkan pemantauan skrin masa nyata, manipulasi papan kekunci dan tetikus, pengelogan kekunci, pintasan papan klip dan penggunaan skrin perbankan palsu atau Kemas Kini Windows yang direka untuk menyembunyikan aktiviti kewangan palsu. Banana RAT sangat tertumpu pada menjejaskan sesi perbankan dalam talian dan mengalihkan transaksi kewangan tanpa disedari oleh mangsa.

Rantaian Jangkitan dan Taktik Pengelakan

Mangsa biasanya ditipu untuk melaksanakan fail kelompok berniat jahat bernama Consultar_NF-e.bat. Fail tersebut disamarkan sebagai invois elektronik Brazil yang sah yang dikenali sebagai NF-e (Nota Fiscal Eletrônica), format yang dikenali secara meluas oleh perniagaan di seluruh Brazil. Pengedaran biasanya berlaku melalui mesej WhatsApp, kempen pancingan data atau pautan berniat jahat yang dihoskan pada domain yang dikawal oleh penyerang.

Banana RAT beroperasi menggunakan model Malware-as-a-Service yang bergantung pada himpunan muatan polimorfik yang besar. Daripada menghantar sampel malware yang sama, penyerang mengekalkan antara 100 dan 200 varian pra-jana, setiap satu dikacau secara unik untuk mengelakkan kaedah pengesanan berasaskan hash. Setiap muatan dilindungi oleh sembilan lapisan pengeliruan dan disulitkan menggunakan AES-256.

Sebaik sahaja fail kelompok berniat jahat dilancarkan, pementas PowerShell yang ringan memuat turun muatan peringkat kedua yang disulitkan daripada infrastruktur penyerang. Muatan dinyahsulit terus dalam memori dan dilaksanakan tanpa menulis kod yang boleh dibaca ke cakera, menjadikan perisian hasad jauh lebih sukar untuk dikesan oleh penyelesaian antivirus tradisional. Untuk menyembunyikan komunikasi dengan lebih lanjut, perisian hasad tersebut mewujudkan sambungan Perintah dan Kawalan (C2) melalui port TCP 443 melalui domain yang ditipu yang meniru infrastruktur CDN Microsoft yang sah. Trafik disulitkan dengan AES-256-CBC dan disahkan menggunakan token HMAC yang dipautkan kepada GUID dan alamat MAC mesin yang dijangkiti, memastikan bahawa hanya pengendali yang dibenarkan sahaja yang boleh berinteraksi dengan peranti yang diceroboh.

Kawalan Jauh Penuh dan Manipulasi Perbankan

Selepas pelaksanaan, Banana RAT memberikan pengendali kawalan langsung dan interaktif ke atas sistem yang dijangkiti. Penyerang boleh menstrim desktop merentasi berbilang monitor dalam masa nyata, mensimulasikan input papan kekunci dan tetikus, malah melumpuhkan peranti input mangsa buat sementara waktu sementara transaksi perbankan tanpa kebenaran dilakukan di latar belakang.

Keupayaan pengawasan perisian hasad ini melangkaui kawalan jauh. Keylogger bersepadu merekodkan ketukan kekunci secara berterusan ke dalam penimbal cincin yang boleh diambil oleh pengendali apabila diminta. Pemantauan papan klip juga dilaksanakan, membolehkan penyerang menggantikan kandungan yang disalin secara senyap, termasuk alamat dompet mata wang kripto, dengan alternatif yang dikawal oleh pelaku ancaman.

Ciri utama Banana RAT ialah sistem tindanan yang berfokus pada perbankan. Perisian hasad ini memantau tajuk tetingkap pelayar aktif dan membandingkannya dengan senarai 16 institusi kewangan Brazil yang dikodkan secara keras, termasuk Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal dan Banco do Brasil, di samping platform pertukaran mata wang kripto yang beroperasi di Brazil. Apabila padanan dikesan, penyerang boleh menggunakan tindanan skrin penuh yang meyakinkan yang meniru portal perbankan yang sah atau pemberitahuan Kemas Kini Windows, sekali gus menutup tindakan penipuan yang berlaku di sebalik tabir.

Rampasan Kod QR Pix dan Kegigihan Jangka Panjang

Banana RAT merangkumi subsistem khusus yang menyasarkan Pix, platform pembayaran segera Brazil. Dengan memuatkan pustaka pemprosesan kod bar ZXing semasa masa jalan, perisian hasad mengimbas skrin mangsa untuk kod QR Pix. Setelah dikesan, penyerang boleh menggantikan kod QR pembayaran yang sah dengan versi palsu yang mengalihkan dana ke akaun di bawah kawalan mereka. Taktik manipulasi kod QR yang serupa sebelum ini telah diperhatikan dalam trojan perbankan Brazil seperti Mekotio dan CHAVECLOAK, mengukuhkan klasifikasi Banana RAT dalam ekosistem perisian hasad Tetrade.

Untuk mengekalkan kegigihan, perisian hasad tersebut mencipta entri Penjadual Tugas Windows tersembunyi yang dikonfigurasikan untuk melancarkan semula muatan PowerShell setiap minit selama 9,999 hari. Tugas yang dijadualkan dilaksanakan dengan tetingkap tersembunyi dan dasar pelaksanaan yang dipintas, menghalang gesaan yang kelihatan atau tetingkap konsol daripada muncul. Banana RAT juga menyalin dirinya sendiri ke dalam direktori yang direka bentuk untuk menyerupai laluan diagnostik Microsoft yang sah, membantu ia bergabung dengan lokasi sistem yang dipercayai dan mengelakkan pemeriksaan kasual.

Kaedah Penyampaian Utama dan Tanda Amaran

Kempen Banana RAT terutamanya bergantung pada kejuruteraan sosial dan teknik penghantaran fail yang mengelirukan. Kaedah jangkitan biasa termasuk:

  • E-mel pancingan data yang mengandungi lampiran invois palsu atau pautan muat turun berniat jahat
  • Mesej WhatsApp dan platform sembang yang mengandungi dokumen NF-e yang disamarkan
  • Muat turun pandu lalu daripada laman web yang dikompromi dan iklan berniat jahat
  • Perisian cetak rompak, kemas kini perisian palsu dan aplikasi yang dipecahkan
  • Format fail berniat jahat seperti BAT, JavaScript, pintasan LNK, arkib ZIP atau RAR, dokumen Office, pemasang EXE dan pakej MSI

Petunjuk Kompromi dan Langkah Pertahanan

Banana RAT direka bentuk khusus untuk mencuri wang daripada pengguna perbankan Brazil dalam masa nyata. Gabungan akses jauh langsung, kecurian kelayakan, manipulasi kod QR dan lapisan perbankan membolehkan penyerang merampas sesi kewangan sepenuhnya sambil menyembunyikan transaksi penipuan daripada mangsa.

Petunjuk kompromi yang berpotensi termasuk:

  • Tugasan berjadual yang tidak dijangka dikonfigurasikan untuk melancarkan arahan PowerShell tersembunyi
  • Sambungan keluar yang mencurigakan melalui saluran yang disulitkan yang menyamar sebagai infrastruktur Microsoft
  • Tingkah laku tetikus atau papan kekunci yang luar biasa semasa sesi perbankan dalam talian
  • Pemindahan Pix tanpa kebenaran atau perubahan dompet mata wang kripto yang tidak dapat dijelaskan
  • Proses PowerShell tersembunyi dan aktiviti akaun perbankan yang tidak normal

Mana-mana sistem yang disyaki dijangkiti harus diasingkan dengan segera. Kelayakan perbankan, kandungan papan klip, token pengesahan dan maklumat dompet mata wang kripto yang disimpan harus dianggap sebagai dicerobohi dan semua kata laluan dan kelayakan akses kewangan yang berkaitan harus ditetapkan semula tanpa berlengah.

Trending

Paling banyak dilihat

Memuatkan...