Banana मुसा

Banana RAT ब्राजिलका प्रयोगकर्ताहरूलाई लक्षित गर्न विशेष रूपमा डिजाइन गरिएको एक परिष्कृत बैंकिङ रिमोट एक्सेस ट्रोजन (RAT) हो। सुरक्षा अनुसन्धानकर्ताहरूले यो अभियानलाई खतरा समूह SHADOW-WATER-063 लाई श्रेय दिन्छन्, जुन ब्राजिलको कुख्यात Tetrade बैंकिङ मालवेयर इकोसिस्टमसँग नजिकबाट सम्बन्धित छ। यो फराकिलो इकोसिस्टममा पहिले नै ग्रान्डोरेइरो, मेकोटियो, कास्बेनेइरो, गिल्डमा र CHAVECLOAK जस्ता प्रसिद्ध मालवेयर परिवारहरू समावेश छन्।

मालवेयरले आक्रमणकारीहरूलाई संक्रमित प्रणालीहरूमा व्यापक नियन्त्रण प्रदान गर्दछ, जसले गर्दा वास्तविक-समय स्क्रिन निगरानी, किबोर्ड र माउस हेरफेर, किस्ट्रोक लगिङ, क्लिपबोर्ड अवरोध, र धोखाधडीपूर्ण वित्तीय गतिविधि लुकाउन डिजाइन गरिएको नक्कली बैंकिङ वा विन्डोज अपडेट स्क्रिनहरूको तैनाती सक्षम हुन्छ। Banana RAT अनलाइन बैंकिङ सत्रहरूमा सम्झौता गर्ने र पीडितलाई थाहा नदिई वित्तीय लेनदेनहरू पुन: निर्देशित गर्ने कुरामा धेरै केन्द्रित छ।

संक्रमण शृङ्खला र चोरी रणनीतिहरू

पीडितहरूलाई सामान्यतया Consultar_NF-e.bat नामक दुर्भावनापूर्ण ब्याच फाइल कार्यान्वयन गर्न झुक्याइन्छ। फाइललाई NF-e (Nota Fiscal Eletrônica) भनेर चिनिने वैध ब्राजिलियन इलेक्ट्रोनिक इनभ्वाइसको रूपमा भेषमा राखिएको हुन्छ, जुन ढाँचा ब्राजिलभरि व्यवसायहरूले व्यापक रूपमा मान्यता प्राप्त गर्दछ। वितरण सामान्यतया व्हाट्सएप सन्देशहरू, फिसिङ अभियानहरू, वा आक्रमणकारी-नियन्त्रित डोमेनहरूमा होस्ट गरिएका दुर्भावनापूर्ण लिङ्कहरू मार्फत हुन्छ।

Banana RAT ले मालवेयर-एज-ए-सर्भिस मोडेल प्रयोग गरेर सञ्चालन गर्दछ जुन पोलिमोर्फिक पेलोडहरूको ठूलो समूहमा निर्भर गर्दछ। समान मालवेयर नमूनाहरू प्रदान गर्नुको सट्टा, आक्रमणकारीहरूले १०० देखि २०० पूर्व-उत्पन्न भेरियन्टहरू राख्छन्, प्रत्येक ह्यास-आधारित पत्ता लगाउने विधिहरूबाट बच्नको लागि विशिष्ट रूपमा स्क्र्याम्बल गरिएको हुन्छ। प्रत्येक पेलोड अस्पष्टताको नौ तहहरूद्वारा सुरक्षित गरिएको छ र AES-256 प्रयोग गरेर इन्क्रिप्ट गरिएको छ।

एक पटक मालिसियस ब्याच फाइल सुरु भएपछि, हल्का वजनको पावरशेल स्टेजरले आक्रमणकारीको पूर्वाधारबाट एन्क्रिप्टेड दोस्रो-चरणको पेलोड डाउनलोड गर्दछ। पेलोड सिधै मेमोरीमा डिक्रिप्ट गरिन्छ र डिस्कमा पढ्न योग्य कोड नलेखी कार्यान्वयन गरिन्छ, जसले गर्दा परम्परागत एन्टिभाइरस समाधानहरूको लागि मालवेयर पत्ता लगाउन धेरै गाह्रो हुन्छ। सञ्चारलाई थप लुकाउन, मालवेयरले TCP पोर्ट ४४३ मा वैध माइक्रोसफ्ट CDN पूर्वाधारको नक्कल गर्ने टाइपोस्क्वाटेड डोमेनहरू मार्फत आफ्नो कमाण्ड-एन्ड-कन्ट्रोल (C2) जडान स्थापना गर्दछ। ट्राफिक AES-256-CBC सँग इन्क्रिप्ट गरिएको छ र संक्रमित मेसिनको GUID र MAC ठेगानासँग लिङ्क गरिएको HMAC टोकनहरू प्रयोग गरेर प्रमाणित गरिएको छ, जसले गर्दा केवल अधिकृत अपरेटरहरूले सम्झौता गरिएको उपकरणसँग अन्तर्क्रिया गर्न सक्छन् भन्ने कुरा सुनिश्चित गर्दछ।

पूर्ण रिमोट कन्ट्रोल र बैंकिङ हेरफेर

कार्यान्वयन पछि, Banana RAT ले अपरेटरहरूलाई संक्रमित प्रणालीमा प्रत्यक्ष र अन्तरक्रियात्मक नियन्त्रण प्रदान गर्दछ। आक्रमणकारीहरूले वास्तविक समयमा धेरै मनिटरहरूमा डेस्कटप स्ट्रिम गर्न सक्छन्, किबोर्ड र माउस इनपुट सिमुलेट गर्न सक्छन्, र पृष्ठभूमिमा अनधिकृत बैंकिङ कारोबारहरू गर्दा पीडितको आफ्नै इनपुट उपकरणहरूलाई अस्थायी रूपमा असक्षम पार्न पनि सक्छन्।

मालवेयरको निगरानी क्षमताहरू रिमोट कन्ट्रोलभन्दा बाहिर फैलिएको छ। एकीकृत किलगरले निरन्तर किस्ट्रोकहरूलाई रिंग बफरमा रेकर्ड गर्दछ जुन अपरेटरहरूले मागमा पुन: प्राप्त गर्न सक्छन्। क्लिपबोर्ड निगरानी पनि लागू गरिएको छ, जसले आक्रमणकारीहरूलाई क्रिप्टोकरेन्सी वालेट ठेगानाहरू सहित प्रतिलिपि गरिएको सामग्रीलाई चुपचाप प्रतिस्थापन गर्न अनुमति दिन्छ, खतरा अभिनेता द्वारा नियन्त्रित विकल्पहरूसँग।

Banana RAT को एउटा प्रमुख विशिष्ट विशेषता भनेको यसको बैंकिङ-केन्द्रित ओभरले प्रणाली हो। मालवेयरले सक्रिय ब्राउजर विन्डो शीर्षकहरूको निगरानी गर्दछ र ब्राजिलमा सञ्चालन हुने क्रिप्टोकरेन्सी एक्सचेन्ज प्लेटफर्महरूसँगै इटाउ युनिबान्को, ब्राडेस्को, सान्टान्डर ब्राजिल, कैक्सा इकोनोमिका फेडरल, र बान्को डो ब्राजिल सहित १६ ब्राजिलियन वित्तीय संस्थाहरूको हार्डकोड गरिएको सूचीसँग तुलना गर्दछ। जब मिल्दोजुल्दो पत्ता लाग्छ, आक्रमणकारीहरूले पर्दा पछाडि भइरहेका धोखाधडी कार्यहरूलाई लुकाउँदै वैध बैंकिङ पोर्टलहरू वा विन्डोज अपडेट सूचनाहरूको नक्कल गर्ने विश्वस्त पूर्ण-स्क्रिन ओभरलेहरू तैनाथ गर्न सक्छन्।

पिक्स क्यूआर कोड अपहरण र दीर्घकालीन निरन्तरता

Banana RAT मा ब्राजिलको तत्काल भुक्तानी प्लेटफर्म, Pix लाई लक्षित गर्ने समर्पित उपप्रणाली समावेश छ। रनटाइममा ZXing बारकोड प्रशोधन पुस्तकालय लोड गरेर, मालवेयरले Pix QR कोडहरूको लागि पीडितको स्क्रिन स्क्यान गर्दछ। एक पटक पत्ता लागेपछि, आक्रमणकारीहरूले वैध भुक्तानी QR कोडहरूलाई धोखाधडी संस्करणहरूसँग प्रतिस्थापन गर्न सक्छन् जसले रकमलाई तिनीहरूको नियन्त्रणमा रहेका खाताहरूमा रिडिरेक्ट गर्दछ। यस्तै QR कोड हेरफेर रणनीतिहरू पहिले मेकोटियो र CHAVECLOAK जस्ता ब्राजिलियन बैंकिङ ट्रोजनहरूमा अवलोकन गरिएको छ, जसले Tetrade मालवेयर इकोसिस्टम भित्र Banana RAT को वर्गीकरणलाई बलियो बनाउँछ।

स्थिरता कायम राख्न, मालवेयरले ९,९९९ दिनको लागि प्रत्येक मिनेटमा PowerShell पेलोड पुन: सुरु गर्न कन्फिगर गरिएको लुकेको Windows Task Scheduler प्रविष्टि सिर्जना गर्दछ। निर्धारित कार्य लुकेका विन्डोजहरू र बाइपास गरिएको कार्यान्वयन नीतिहरूसँग कार्यान्वयन हुन्छ, दृश्यात्मक प्रम्प्टहरू वा कन्सोल विन्डोहरू देखा पर्नबाट रोक्छ। Banana RAT ले वैध माइक्रोसफ्ट डायग्नोस्टिक मार्गहरू जस्तै डिजाइन गरिएका निर्देशिकाहरूमा पनि प्रतिलिपि बनाउँछ, जसले यसलाई विश्वसनीय प्रणाली स्थानहरूमा मिश्रण गर्न र आकस्मिक निरीक्षणबाट बच्न मद्दत गर्दछ।

प्राथमिक डेलिभरी विधिहरू र चेतावनी संकेतहरू

केरा RAT अभियानहरू मुख्यतया सामाजिक इन्जिनियरिङ र भ्रामक फाइल डेलिभरी प्रविधिहरूमा निर्भर हुन्छन्। सामान्य संक्रमण विधिहरूमा समावेश छन्:

• नक्कली इनभ्वाइस संलग्नकहरू वा दुर्भावनापूर्ण डाउनलोड लिङ्कहरू भएका फिसिङ इमेलहरू
• लुकेका NF-e कागजातहरू भएका व्हाट्सएप र च्याट-प्लेटफर्म सन्देशहरू
• सम्झौता गरिएका वेबसाइटहरू र दुर्भावनापूर्ण विज्ञापनहरूबाट ड्राइभ-द्वारा डाउनलोडहरू
• पाइरेटेड सफ्टवेयर, नक्कली सफ्टवेयर अपडेट, र क्र्याक गरिएका अनुप्रयोगहरू
• BAT, JavaScript, LNK सर्टकटहरू, ZIP वा RAR अभिलेखहरू, Office कागजातहरू, EXE स्थापनाकर्ताहरू, र MSI प्याकेजहरू जस्ता दुर्भावनापूर्ण फाइल ढाँचाहरू।

सम्झौता र रक्षात्मक उपायका सूचकहरू

Banana RAT विशेष गरी ब्राजिलियन बैंकिङ प्रयोगकर्ताहरूबाट वास्तविक समयमा पैसा चोर्नको लागि डिजाइन गरिएको हो। यसको प्रत्यक्ष रिमोट पहुँच, प्रमाणपत्र चोरी, QR कोड हेरफेर, र बैंकिङ ओभरलेको संयोजनले आक्रमणकारीहरूलाई पीडितहरूबाट धोखाधडीपूर्ण लेनदेन लुकाउँदै वित्तीय सत्रहरू पूर्ण रूपमा अपहरण गर्न अनुमति दिन्छ।

सम्झौताका सम्भावित सूचकहरू समावेश छन्:

• लुकेका PowerShell आदेशहरू सुरु गर्न कन्फिगर गरिएका अप्रत्याशित तालिकाबद्ध कार्यहरू
• माइक्रोसफ्ट पूर्वाधारको नक्कल गर्ने इन्क्रिप्टेड च्यानलहरूमा शंकास्पद आउटबाउन्ड जडानहरू
• अनलाइन बैंकिङ सत्रहरूमा असामान्य माउस वा किबोर्ड व्यवहार
• अनधिकृत Pix स्थानान्तरण वा अस्पष्टीकृत क्रिप्टोकरेन्सी वालेट परिवर्तनहरू
• लुकेका पावरशेल प्रक्रियाहरू र असामान्य बैंकिङ खाता गतिविधि

संक्रमणको शंका लागेका कुनै पनि प्रणालीलाई तुरुन्तै अलग गरिनुपर्छ। सुरक्षित गरिएका बैंकिङ प्रमाणहरू, क्लिपबोर्ड सामग्रीहरू, प्रमाणीकरण टोकनहरू, र क्रिप्टोकरेन्सी वालेट जानकारीलाई सम्झौता गरिएको मान्नुपर्छ, र सबै सम्बन्धित पासवर्डहरू र वित्तीय पहुँच प्रमाणहरू ढिलाइ नगरी रिसेट गर्नुपर्छ।