Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Banana RAT

Banana RAT

Por Mezo em Malware, Ferramentas de Administração Remota
Traduzir Para:

O Banana RAT é um Trojan de Acesso Remoto (RAT) sofisticado para o setor bancário, projetado especificamente para atacar usuários no Brasil. Pesquisadores de segurança atribuem a campanha ao grupo de ameaças SHADOW-WATER-063, intimamente associado ao notório ecossistema de malware bancário Tetrade, no Brasil. Esse ecossistema mais amplo já inclui famílias de malware conhecidas como Grandoreiro, Mekotio, Casbaneiro, Guildma e CHAVECLOAK.

O malware oferece aos atacantes amplo controle sobre os sistemas infectados, permitindo monitoramento de tela em tempo real, manipulação de teclado e mouse, registro de teclas digitadas, interceptação da área de transferência e a exibição de telas falsas de bancos ou atualizações do Windows, projetadas para ocultar atividades financeiras fraudulentas. O Banana RAT tem como foco principal comprometer sessões de bancos online e redirecionar transações financeiras sem que a vítima perceba.

Cadeia de infecção e táticas de evasão

As vítimas são frequentemente enganadas para executar um arquivo em lote malicioso chamado Consultar_NF-e.bat. O arquivo se disfarça de uma fatura eletrônica brasileira legítima, conhecida como NF-e (Nota Fiscal Eletrônica), um formato amplamente reconhecido por empresas em todo o Brasil. A distribuição geralmente ocorre por meio de mensagens do WhatsApp, campanhas de phishing ou links maliciosos hospedados em domínios controlados pelo atacante.

O Banana RAT opera usando um modelo de Malware como Serviço (MaaS) que se baseia em grandes conjuntos de payloads polimórficos. Em vez de distribuir amostras de malware idênticas, os atacantes mantêm entre 100 e 200 variantes pré-geradas, cada uma com um código criptografado exclusivo para burlar métodos de detecção baseados em hash. Cada payload é protegido por nove camadas de ofuscação e criptografado usando AES-256.

Após a execução do arquivo em lote malicioso, um script PowerShell leve baixa a carga útil criptografada da segunda etapa da infraestrutura do atacante. A carga útil é descriptografada diretamente na memória e executada sem gravar código legível em disco, tornando o malware significativamente mais difícil de ser detectado por soluções antivírus tradicionais. Para ocultar ainda mais as comunicações, o malware estabelece sua conexão de Comando e Controle (C2) pela porta TCP 443 através de domínios com erros de digitação que imitam a infraestrutura legítima da CDN da Microsoft. O tráfego é criptografado com AES-256-CBC e autenticado usando tokens HMAC vinculados ao GUID e ao endereço MAC da máquina infectada, garantindo que apenas operadores autorizados possam interagir com o dispositivo comprometido.

Controle remoto total e manipulação bancária

Após a execução, o Banana RAT concede aos operadores controle direto e interativo sobre o sistema infectado. Os atacantes podem transmitir a área de trabalho para vários monitores em tempo real, simular entradas de teclado e mouse e até mesmo desativar temporariamente os dispositivos de entrada da vítima enquanto transações bancárias não autorizadas são realizadas em segundo plano.

As capacidades de vigilância do malware vão além do controle remoto. Um keylogger integrado registra continuamente as teclas digitadas em um buffer circular que os operadores podem recuperar sob demanda. O monitoramento da área de transferência também está implementado, permitindo que os invasores substituam silenciosamente o conteúdo copiado, incluindo endereços de carteiras de criptomoedas, por alternativas controladas pelo agente da ameaça.

Uma das principais características distintivas do Banana RAT é seu sistema de sobreposição focado em serviços bancários. O malware monitora os títulos das janelas ativas do navegador e os compara com uma lista pré-definida de 16 instituições financeiras brasileiras, incluindo Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal e Banco do Brasil, além de plataformas de câmbio de criptomoedas que operam no Brasil. Quando uma correspondência é detectada, os atacantes podem implantar sobreposições convincentes em tela cheia que imitam portais bancários legítimos ou notificações do Windows Update, mascarando as ações fraudulentas que ocorrem em segundo plano.

Sequestro e persistência a longo prazo de códigos QR da Pix

O Banana RAT inclui um subsistema dedicado que visa o Pix, plataforma brasileira de pagamentos instantâneos. Ao carregar a biblioteca de processamento de código de barras ZXing em tempo de execução, o malware escaneia a tela da vítima em busca de códigos QR do Pix. Uma vez detectados, os atacantes podem substituir os códigos QR legítimos de pagamento por versões fraudulentas que redirecionam os fundos para contas sob seu controle. Táticas semelhantes de manipulação de códigos QR já foram observadas em trojans bancários brasileiros como Mekotio e CHAVECLOAK, reforçando a classificação do Banana RAT dentro do ecossistema de malware Tetrade.

Para manter a persistência, o malware cria uma entrada oculta no Agendador de Tarefas do Windows, configurada para reiniciar o payload do PowerShell a cada minuto, durante 9.999 dias. A tarefa agendada é executada com janelas ocultas e políticas de execução burladas, impedindo que prompts ou janelas de console visíveis apareçam. O Banana RAT também se copia para diretórios projetados para se assemelharem a caminhos de diagnóstico legítimos da Microsoft, ajudando-o a se misturar em locais confiáveis do sistema e a evitar inspeções casuais.

Métodos de parto primários e sinais de alerta

As campanhas do Banana RAT baseiam-se principalmente em engenharia social e técnicas enganosas de distribuição de arquivos. Os métodos de infecção comuns incluem:

  • E-mails de phishing contendo anexos de faturas falsas ou links de download maliciosos.
  • Mensagens do WhatsApp e de outras plataformas de bate-papo contendo documentos NF-e disfarçados
  • Downloads automáticos de sites comprometidos e anúncios maliciosos.
  • Software pirateado, atualizações de software falsas e aplicativos crackeados.
  • Formatos de arquivo maliciosos, como BAT, JavaScript, atalhos LNK, arquivos ZIP ou RAR, documentos do Office, instaladores EXE e pacotes MSI.

Indicadores de Compromisso e Medidas Defensivas

O Banana RAT foi projetado especificamente para roubar dinheiro de usuários bancários brasileiros em tempo real. Sua combinação de acesso remoto em tempo real, roubo de credenciais, manipulação de código QR e sobreposição de sistemas bancários permite que os atacantes sequestrem completamente as sessões financeiras, ocultando as transações fraudulentas das vítimas.

Possíveis indicadores de comprometimento incluem:

  • Tarefas agendadas inesperadas configuradas para executar comandos ocultos do PowerShell
  • Conexões de saída suspeitas em canais criptografados, simulando a infraestrutura da Microsoft.
  • Comportamento incomum do mouse ou teclado durante sessões de internet banking
  • Transferências não autorizadas de Pix ou alterações inexplicáveis na carteira de criptomoedas.
  • Processos ocultos do PowerShell e atividade anormal em contas bancárias

Qualquer sistema suspeito de infecção deve ser isolado imediatamente. Credenciais bancárias salvas, conteúdo da área de transferência, tokens de autenticação e informações de carteiras de criptomoedas devem ser tratados como comprometidos, e todas as senhas e credenciais de acesso financeiro associadas devem ser redefinidas sem demora.

Tendendo

Mais visto

Carregando...