Banana RAT

Do Mezo w Złośliwe oprogramowanie, Narzędzia do zdalnej administracji

Przetłumacz na:

Banana RAT to zaawansowany bankowy trojan zdalnego dostępu (RAT) zaprojektowany specjalnie z myślą o użytkownikach w Brazylii. Badacze bezpieczeństwa przypisują tę kampanię grupie zagrożeń SHADOW-WATER-063, która jest ściśle powiązana z brazylijskim ekosystemem złośliwego oprogramowania bankowego Tetrade. Ten szerszy ekosystem obejmuje już znane rodziny złośliwego oprogramowania, takie jak Grandoreiro, Mekotio, Casbaneiro, Guildma i CHAVECLOAK.

Szkodliwe oprogramowanie zapewnia atakującym rozległą kontrolę nad zainfekowanymi systemami, umożliwiając monitorowanie ekranu w czasie rzeczywistym, manipulowanie klawiaturą i myszą, rejestrowanie naciśnięć klawiszy, przechwytywanie schowka oraz wdrażanie fałszywych ekranów bankowych lub Windows Update, mających na celu ukrycie oszukańczej aktywności finansowej. Banana RAT koncentruje się głównie na infiltracji sesji bankowości internetowej i przekierowywaniu transakcji finansowych bez wiedzy ofiary.

Spis treści

Łańcuch infekcji i taktyki unikania

Ofiary są często oszukiwane i uruchamiają złośliwy plik wsadowy o nazwie Consultar_NF-e.bat. Plik podszywa się pod legalną brazylijską fakturę elektroniczną znaną jako NF-e (Nota Fiscal Eletrônica), format powszechnie rozpoznawany przez firmy w całej Brazylii. Dystrybucja odbywa się zazwyczaj za pośrednictwem wiadomości WhatsApp, kampanii phishingowych lub złośliwych linków hostowanych w domenach kontrolowanych przez atakujących.

Banana RAT działa w oparciu o model Malware-as-a-Service, który opiera się na dużych pulach polimorficznych ładunków. Zamiast dostarczać identyczne próbki złośliwego oprogramowania, atakujący utrzymują od 100 do 200 wstępnie wygenerowanych wariantów, z których każdy jest unikalnie zaszyfrowany, aby uniknąć metod wykrywania opartych na skrótach. Każdy ładunek jest chroniony dziewięcioma warstwami zaciemniania i szyfrowany algorytmem AES-256.

Po uruchomieniu złośliwego pliku wsadowego, lekki moduł PowerShell pobiera zaszyfrowany ładunek drugiego etapu z infrastruktury atakującego. Ładunek jest odszyfrowywany bezpośrednio w pamięci i wykonywany bez zapisywania czytelnego kodu na dysku, co znacznie utrudnia wykrycie złośliwego oprogramowania przez tradycyjne rozwiązania antywirusowe. Aby dodatkowo ukryć komunikację, złośliwe oprogramowanie nawiązuje połączenie Command-and-Control (C2) przez port TCP 443 za pośrednictwem domen typu typosquatted, które imitują legalną infrastrukturę CDN firmy Microsoft. Ruch jest szyfrowany algorytmem AES-256-CBC i uwierzytelniany za pomocą tokenów HMAC powiązanych z identyfikatorem GUID i adresem MAC zainfekowanej maszyny, co gwarantuje, że tylko autoryzowani operatorzy mogą wchodzić w interakcję z zainfekowanym urządzeniem.

Pełna zdalna kontrola i manipulacja bankowością

Po uruchomieniu Banana RAT zapewnia operatorom bezpośrednią i interaktywną kontrolę nad zainfekowanym systemem. Atakujący mogą przesyłać pulpit na wiele monitorów w czasie rzeczywistym, symulować wprowadzanie danych za pomocą klawiatury i myszy, a nawet tymczasowo wyłączyć urządzenia wejściowe ofiary, podczas gdy w tle przeprowadzane są nieautoryzowane transakcje bankowe.

Możliwości monitorowania złośliwego oprogramowania wykraczają poza zdalną kontrolę. Zintegrowany keylogger stale rejestruje naciśnięcia klawiszy w buforze pierścieniowym, który operatorzy mogą pobrać na żądanie. Wdrożono również monitorowanie schowka, co pozwala atakującym na dyskretne zastępowanie skopiowanej zawartości, w tym adresów portfeli kryptowalut, alternatywnymi danymi kontrolowanymi przez atakującego.

Główną cechą wyróżniającą Banana RAT jest system nakładek skoncentrowany na bankowości. Szkodliwe oprogramowanie monitoruje aktywne tytuły okien przeglądarki i porównuje je z zakodowaną na stałe listą 16 brazylijskich instytucji finansowych, w tym Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal i Banco do Brasil, a także platform wymiany kryptowalut działających w Brazylii. Po wykryciu dopasowania atakujący mogą wdrożyć przekonujące nakładki pełnoekranowe, imitujące legalne portale bankowe lub powiadomienia Windows Update, maskując w ten sposób działania oszukańcze.

Przejęcie kodu QR w serwisie Pix i jego długotrwałe utrzymywanie

Banana RAT zawiera dedykowany podsystem atakujący Pix, brazylijską platformę płatności natychmiastowych. Ładując bibliotekę przetwarzania kodów kreskowych ZXing w czasie wykonywania, malware skanuje ekran ofiary w poszukiwaniu kodów QR Pix. Po wykryciu atakujący mogą zastąpić legalne kody QR płatności ich fałszywymi wersjami, przekierowując środki na kontrolowane przez siebie konta. Podobne taktyki manipulacji kodami QR obserwowano wcześniej w brazylijskich trojanach bankowych, takich jak Mekotio i CHAVECLOAK, co potwierdza przynależność Banana RAT do ekosystemu złośliwego oprogramowania Tetrade.

Aby utrzymać się w systemie, złośliwe oprogramowanie tworzy ukryty wpis w Harmonogramie zadań systemu Windows, skonfigurowany do ponownego uruchamiania pakietu PowerShell co minutę przez 9999 dni. Zaplanowane zadanie jest wykonywane z ukrytymi oknami i z pominięciem zasad wykonywania, co zapobiega wyświetlaniu widocznych monitów i okien konsoli. Banana RAT kopiuje się również do katalogów zaprojektowanych tak, aby przypominały legalne ścieżki diagnostyczne firmy Microsoft, co pomaga mu wtopić się w zaufane lokalizacje systemowe i uniknąć przypadkowej inspekcji.

Podstawowe metody dostarczania i sygnały ostrzegawcze

Kampanie Banana RAT opierają się głównie na socjotechnice i zwodniczych technikach dostarczania plików. Typowe metody infekcji obejmują:

Wiadomości e-mail typu phishing zawierające fałszywe załączniki do faktur lub złośliwe linki do pobrania
Wiadomości WhatsApp i czatów zawierające ukryte dokumenty NF-e
Pobieranie plików z zainfekowanych witryn internetowych i złośliwe reklamy
Pirackie oprogramowanie, fałszywe aktualizacje oprogramowania i zhakowane aplikacje
Złośliwe formaty plików, takie jak BAT, JavaScript, skróty LNK, archiwa ZIP lub RAR, dokumenty pakietu Office, instalatory EXE i pakiety MSI

Wskaźniki kompromisu i środki obronne

Banana RAT został specjalnie zaprojektowany do kradzieży pieniędzy od brazylijskich użytkowników bankowości w czasie rzeczywistym. Połączenie zdalnego dostępu w czasie rzeczywistym, kradzieży danych uwierzytelniających, manipulacji kodami QR i nakładek bankowych pozwala atakującym na całkowite przejęcie kontroli nad sesjami finansowymi, jednocześnie ukrywając przed ofiarami oszukańcze transakcje.

Potencjalne wskaźniki zagrożenia obejmują:

Nieoczekiwane zadania zaplanowane skonfigurowane do uruchamiania ukrytych poleceń programu PowerShell
Podejrzane połączenia wychodzące przez szyfrowane kanały podszywające się pod infrastrukturę firmy Microsoft
Nietypowe zachowanie myszy lub klawiatury podczas sesji bankowości internetowej
Nieautoryzowane przelewy Pix lub niewyjaśnione zmiany w portfelu kryptowalutowym
Ukryte procesy programu PowerShell i nieprawidłowa aktywność konta bankowego

Każdy system podejrzany o infekcję powinien zostać natychmiast odizolowany. Zapisane dane uwierzytelniające bankowości, zawartość schowka, tokeny uwierzytelniające oraz informacje o portfelach kryptowalut należy traktować jako zagrożone, a wszystkie powiązane hasła i dane uwierzytelniające dostęp do środków finansowych należy niezwłocznie zresetować.

Procesor płatności Digital River GmbH firmy EnigmaSoft ogłasza upadłość, nie wpływając na ochronę antymalware klientów SpyHunter

Szukaj

Zmieniać region

Banana RAT

Łańcuch infekcji i taktyki unikania

Pełna zdalna kontrola i manipulacja bankowością

Przejęcie kodu QR w serwisie Pix i jego długotrwałe utrzymywanie

Podstawowe metody dostarczania i sygnały ostrzegawcze

Wskaźniki kompromisu i środki obronne

Prześlij komentarz

Popularne

Aktualizacja zabezpieczeń umożliwiająca...

Oszustwo związane z zrzutem powietrza Avantis (AVNT)

Aibrowseruodate.com

Najczęściej oglądane

Jak naprawić błąd „Sterownik drukarki jest niedostępny”

Discord pokazuje czarny ekran podczas udostępniania...

Eporner.com