Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Banana RAT

Banana RAT

Tegen Mezo in Malware, Hulpmiddelen voor extern beheer
Vertalen naar:

Banana RAT is een geavanceerde Remote Access Trojan (RAT) voor de banksector, specifiek ontworpen om gebruikers in Brazilië aan te vallen. Beveiligingsonderzoekers schrijven de campagne toe aan de dreigingsgroep SHADOW-WATER-063, die nauw verbonden is met het beruchte Tetrade-malware-ecosysteem in Brazilië. Dit bredere ecosysteem omvat al bekende malwarefamilies zoals Grandoreiro, Mekotio, Casbaneiro, Guildma en CHAVECLOAK.

De malware geeft aanvallers uitgebreide controle over geïnfecteerde systemen, waardoor realtime schermbewaking, manipulatie van toetsenbord en muis, het vastleggen van toetsaanslagen, het onderscheppen van het klembord en het weergeven van nep-bank- of Windows Update-schermen mogelijk zijn, bedoeld om frauduleuze financiële activiteiten te verbergen. Banana RAT is sterk gericht op het compromitteren van online banksessies en het omleiden van financiële transacties zonder dat het slachtoffer dit merkt.

Infectieketen en ontwijkingstactieken

Slachtoffers worden vaak misleid om een kwaadaardig batchbestand met de naam Consultar_NF-e.bat uit te voeren. Het bestand is vermomd als een legitieme Braziliaanse elektronische factuur, een zogenaamde NF-e (Nota Fiscal Eletrônica), een formaat dat door bedrijven in heel Brazilië wordt erkend. Verspreiding vindt doorgaans plaats via WhatsApp-berichten, phishingcampagnes of kwaadaardige links op domeinen die door de aanvaller worden beheerd.

Banana RAT werkt volgens een Malware-as-a-Service-model dat gebruikmaakt van grote verzamelingen polymorfe payloads. In plaats van identieke malware-samples te verspreiden, onderhouden de aanvallers tussen de 100 en 200 vooraf gegenereerde varianten, die elk uniek versleuteld zijn om hash-gebaseerde detectiemethoden te omzeilen. Elke payload is beschermd door negen lagen van obfuscatie en versleuteld met AES-256.

Zodra het kwaadaardige batchbestand is gestart, downloadt een lichtgewicht PowerShell-stager de versleutelde payload van de tweede fase van de infrastructuur van de aanvaller. De payload wordt direct in het geheugen ontsleuteld en uitgevoerd zonder leesbare code naar de schijf te schrijven, waardoor de malware aanzienlijk moeilijker te detecteren is voor traditionele antivirusoplossingen. Om de communicatie verder te verbergen, legt de malware zijn Command-and-Control (C2)-verbinding tot stand via TCP-poort 443 via typosquat-domeinen die legitieme Microsoft CDN-infrastructuur imiteren. Het verkeer wordt versleuteld met AES-256-CBC en geverifieerd met behulp van HMAC-tokens die zijn gekoppeld aan de GUID en het MAC-adres van de geïnfecteerde machine, zodat alleen geautoriseerde gebruikers met het gecompromitteerde apparaat kunnen communiceren.

Volledige afstandsbediening en manipulatie van banktransacties

Na uitvoering geeft Banana RAT operators directe en interactieve controle over het geïnfecteerde systeem. Aanvallers kunnen het bureaublad in realtime streamen naar meerdere monitoren, toetsenbord- en muisinvoer simuleren en zelfs de invoerapparaten van het slachtoffer tijdelijk uitschakelen terwijl er op de achtergrond ongeautoriseerde banktransacties worden uitgevoerd.

De bewakingsmogelijkheden van de malware gaan verder dan alleen afstandsbediening. Een geïntegreerde keylogger registreert continu toetsaanslagen in een ringbuffer die operators op elk gewenst moment kunnen opvragen. Ook is er klembordmonitoring geïmplementeerd, waardoor aanvallers de gekopieerde inhoud, inclusief adressen van cryptowallets, stilletjes kunnen vervangen door alternatieven die door de aanvaller zelf worden beheerd.

Een belangrijk onderscheidend kenmerk van Banana RAT is het op de banksector gerichte overlay-systeem. De malware monitort de titels van actieve browservensters en vergelijkt deze met een vastgelegde lijst van 16 Braziliaanse financiële instellingen, waaronder Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal en Banco do Brasil, evenals cryptovaluta-uitwisselingsplatformen die in Brazilië actief zijn. Wanneer een overeenkomst wordt gedetecteerd, kunnen de aanvallers overtuigende overlays op volledig scherm weergeven die legitieme bankportalen of Windows Update-meldingen imiteren, waardoor de frauduleuze activiteiten die op de achtergrond plaatsvinden, worden gemaskeerd.

Pix QR-codekaping en langdurige persistentie

Banana RAT bevat een specifiek subsysteem dat zich richt op Pix, het Braziliaanse platform voor directe betalingen. Door de ZXing-barcodeverwerkingsbibliotheek tijdens de uitvoering te laden, scant de malware het scherm van het slachtoffer op Pix QR-codes. Zodra deze zijn gedetecteerd, kunnen aanvallers legitieme betaal-QR-codes vervangen door frauduleuze versies die geld doorsluizen naar rekeningen onder hun controle. Vergelijkbare tactieken voor het manipuleren van QR-codes zijn eerder waargenomen bij Braziliaanse banktrojans zoals Mekotio en CHAVECLOAK, wat de classificatie van Banana RAT binnen het Tetrade-malware-ecosysteem versterkt.

Om persistentie te behouden, maakt de malware een verborgen item aan in de Windows Taakplanner, geconfigureerd om de PowerShell-payload elke minuut opnieuw te starten gedurende 9999 dagen. De geplande taak wordt uitgevoerd met verborgen vensters en omzeilde uitvoeringsregels, waardoor zichtbare prompts of consolevensters niet verschijnen. Banana RAT kopieert zichzelf ook naar mappen die zijn ontworpen om te lijken op legitieme Microsoft-diagnosepaden, waardoor het zich kan mengen in vertrouwde systeemlocaties en onopvallende inspectie kan ontwijken.

Belangrijkste bevallingsmethoden en waarschuwingssignalen

Banana RAT-campagnes maken voornamelijk gebruik van social engineering en misleidende methoden voor het bezorgen van bestanden. Veelvoorkomende infectiemethoden zijn onder andere:

  • Phishing-e-mails met valse factuurbijlagen of schadelijke downloadlinks
  • WhatsApp- en chatberichten met vermomde NF-e-documenten
  • Drive-by downloads van gehackte websites en kwaadaardige advertenties
  • Gepiratiseerde software, nep-software-updates en gekraakte applicaties
  • Kwaadaardige bestandsformaten zoals BAT, JavaScript, LNK-snelkoppelingen, ZIP- of RAR-archieven, Office-documenten, EXE-installatieprogramma's en MSI-pakketten.

Indicatoren van compromis en verdedigingsmaatregelen

Banana RAT is specifiek ontworpen om in realtime geld te stelen van Braziliaanse bankgebruikers. De combinatie van live toegang op afstand, diefstal van inloggegevens, manipulatie van QR-codes en bankoverlays stelt aanvallers in staat om financiële sessies volledig te kapen en frauduleuze transacties voor de slachtoffers te verbergen.

Mogelijke indicatoren van een compromis zijn onder meer:

  • Onverwachte geplande taken geconfigureerd om verborgen PowerShell-opdrachten uit te voeren.
  • Verdachte uitgaande verbindingen via versleutelde kanalen die zich voordoen als Microsoft-infrastructuur.
  • Ongebruikelijk gedrag van de muis of het toetsenbord tijdens online bankieren.
  • Ongeautoriseerde Pix-transfers of onverklaarbare wijzigingen in cryptocurrency-wallets.
  • Verborgen PowerShell-processen en abnormale bankrekeningactiviteit

Elk systeem dat mogelijk geïnfecteerd is, moet onmiddellijk worden geïsoleerd. Opgeslagen bankgegevens, de inhoud van het klembord, authenticatietokens en informatie over cryptowallets moeten als gecompromitteerd worden beschouwd en alle bijbehorende wachtwoorden en inloggegevens voor financiële diensten moeten onmiddellijk worden gereset.

Trending

Meest bekeken

Bezig met laden...