Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare Banana RAT

Banana RAT

Med Mezo i Skadelig programvare, Fjernadministrasjonsverktøy
Oversett til:

Banana RAT er en sofistikert banktrojaner (RAT) som er spesielt utviklet for å målrette brukere i Brasil. Sikkerhetsforskere tilskriver kampanjen trusselgruppen SHADOW-WATER-063, som er nært knyttet til Brasils beryktede Tetrade-økosystem for bankskadevare. Dette bredere økosystemet inkluderer allerede kjente skadevarefamilier som Grandoreiro, Mekotio, Casbaneiro, Guildma og CHAVECLOAK.

Skadevaren gir angripere omfattende kontroll over infiserte systemer, og muliggjør sanntids skjermovervåking, manipulering av tastatur og mus, logging av tastetrykk, avlytting av utklippstavler og utplassering av falske bank- eller Windows Update-skjermer som er utformet for å skjule uredelig økonomisk aktivitet. Banana RAT fokuserer sterkt på å kompromittere nettbankøkter og omdirigere økonomiske transaksjoner uten at offeret merker det.

Smittekjede og unnvikelsestaktikker

Ofre blir ofte lurt til å kjøre en ondsinnet batchfil kalt Consultar_NF-e.bat. Filen er kamuflert som en legitim brasiliansk elektronisk faktura kjent som en NF-e (Nota Fiscal Eletrônica), et format som er allment anerkjent av bedrifter over hele Brasil. Distribusjon skjer vanligvis via WhatsApp-meldinger, phishing-kampanjer eller ondsinnede lenker som ligger på angriperkontrollerte domener.

Banana RAT bruker en «Malware-as-a-Service»-modell som er avhengig av store mengder polymorfe nyttelaster. I stedet for å levere identiske malware-eksempler, opprettholder angriperne mellom 100 og 200 forhåndsgenererte varianter, hver unikt kryptert for å unngå hash-baserte deteksjonsmetoder. Hver nyttelast er beskyttet av ni lag med obfuskering og kryptert med AES-256.

Når den ondsinnede batchfilen er startet, laster en lett PowerShell-stager ned den krypterte andre-trinns nyttelasten fra angriperens infrastruktur. Nyttelasten dekrypteres direkte i minnet og kjøres uten å skrive lesbar kode til disken, noe som gjør skadevaren betydelig vanskeligere for tradisjonelle antivirusløsninger å oppdage. For å skjule kommunikasjon ytterligere, etablerer skadevaren sin Command-and-Control (C2)-forbindelse over TCP-port 443 gjennom typosquatted-domener som imiterer legitim Microsoft CDN-infrastruktur. Trafikken krypteres med AES-256-CBC og autentiseres ved hjelp av HMAC-tokener koblet til den infiserte maskinens GUID og MAC-adresse, noe som sikrer at bare autoriserte operatører kan samhandle med den kompromitterte enheten.

Full fjernkontroll og bankmanipulering

Etter utførelse gir Banana RAT operatører direkte og interaktiv kontroll over det infiserte systemet. Angripere kan strømme skrivebordet på tvers av flere skjermer i sanntid, simulere tastatur- og museinndata, og til og med midlertidig deaktivere offerets egne inndataenheter mens uautoriserte banktransaksjoner utføres i bakgrunnen.

Skadevarens overvåkingsmuligheter går utover fjernkontroll. En integrert tastelogger registrerer kontinuerlig tastetrykk i en ringbuffer som operatører kan hente på forespørsel. Utklippstavlovervåking er også implementert, slik at angripere stille kan erstatte kopiert innhold, inkludert adresser til kryptovaluta-lommebøker, med alternativer kontrollert av trusselaktøren.

Et viktig kjennetegn ved Banana RAT er det bankfokuserte overleggssystemet. Skadevaren overvåker titler i aktive nettleservinduer og sammenligner dem med en hardkodet liste over 16 brasilianske finansinstitusjoner, inkludert Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal og Banco do Brasil, i tillegg til kryptovalutabørsplattformer som opererer i Brasil. Når en treff oppdages, kan angriperne distribuere overbevisende fullskjermsoverlegg som imiterer legitime bankportaler eller Windows Update-varsler, og maskerer de svindelhandlingene som foregår bak kulissene.

Kapring av Pix QR-koder og langvarig varighet

Banana RAT inkluderer et dedikert delsystem som er rettet mot Pix, Brasils plattform for umiddelbare betalinger. Ved å laste inn ZXing-strekkodebehandlingsbiblioteket under kjøring, skanner skadevaren offerets skjerm for Pix QR-koder. Når den er oppdaget, kan angriperne erstatte legitime QR-koder for betalinger med falske versjoner som omdirigerer midler til kontoer de kontrollerer. Lignende taktikker for manipulering av QR-koder har tidligere blitt observert i brasilianske banktrojanere som Mekotio og CHAVECLOAK, noe som forsterker Banana RATs klassifisering innenfor Tetrade-skadevarens økosystem.

For å opprettholde varigheten oppretter skadevaren en skjult Windows Task Scheduler-oppføring som er konfigurert til å starte PowerShell-nyttelasten på nytt hvert minutt i 9999 dager. Den planlagte oppgaven kjøres med skjulte vinduer og omgåtte utførelsespolicyer, noe som forhindrer at synlige ledetekster eller konsollvinduer vises. Banana RAT kopierer seg selv også til kataloger som er utformet for å ligne legitime Microsoft-diagnosebaner, noe som hjelper den å blande seg inn i klarerte systemplasseringer og unngå tilfeldig inspeksjon.

Primære leveringsmetoder og varseltegn

Banana RAT-kampanjer er hovedsakelig avhengige av sosial manipulering og villedende filleveringsteknikker. Vanlige infeksjonsmetoder inkluderer:

  • Phishing-e-poster som inneholder falske fakturavedlegg eller ondsinnede nedlastingslenker
  • WhatsApp- og chatplattformmeldinger som inneholder forkledde NF-e-dokumenter
  • Drive-by-nedlastinger fra kompromitterte nettsteder og ondsinnede annonser
  • Piratkopiert programvare, falske programvareoppdateringer og sprukne applikasjoner
  • Ondsinnede filformater som BAT, JavaScript, LNK-snarveier, ZIP- eller RAR-arkiver, Office-dokumenter, EXE-installasjonsprogrammer og MSI-pakker

Indikatorer for kompromiss og defensive tiltak

Banana RAT er spesielt utviklet for å stjele penger fra brasilianske bankbrukere i sanntid. Kombinasjonen av direkte fjerntilgang, tyveri av legitimasjon, manipulering av QR-koder og bankoverlegg lar angripere kapre økonomiske økter fullstendig, samtidig som de skjuler uredelige transaksjoner fra ofrene.

Mulige indikatorer på kompromiss inkluderer:

  • Uventede planlagte oppgaver konfigurert til å starte skjulte PowerShell-kommandoer
  • Mistenkelige utgående tilkoblinger over krypterte kanaler som utgir seg for å være Microsoft-infrastruktur
  • Uvanlig mus- eller tastaturoppførsel under nettbankøkter
  • Uautoriserte Pix-overføringer eller uforklarlige endringer i kryptovalutalommeboken
  • Skjulte PowerShell-prosesser og unormal bankkontoaktivitet

Ethvert system som mistenkes for infeksjon, bør isoleres umiddelbart. Lagrede bankopplysninger, innhold i utklippstavlen, autentiseringstokener og informasjon om kryptovalutalommebøker bør behandles som kompromittert, og alle tilknyttede passord og økonomiske tilgangsopplysninger bør tilbakestilles uten forsinkelse.

Trender

Mest sett

Laster inn...