Banana RAT

Banana RAT este un troian sofisticat de acces la distanță (RAT) pentru sistemul bancar, conceput special pentru a viza utilizatorii din Brazilia. Cercetătorii în domeniul securității atribuie campania grupului de amenințări SHADOW-WATER-063, care este strâns asociat cu ecosistemul de malware bancar Tetrade, cunoscut din Brazilia. Acest ecosistem mai amplu include deja familii de malware bine-cunoscute, cum ar fi Grandoreiro, Mekotio, Casbaneiro, Guildma și CHAVECLOAK.

Malware-ul oferă atacatorilor control extins asupra sistemelor infectate, permițând monitorizarea ecranului în timp real, manipularea tastaturii și a mouse-ului, înregistrarea apăsărilor de taste, interceptarea clipboard-ului și implementarea de ecrane bancare false sau Windows Update, concepute pentru a ascunde activitatea financiară frauduloasă. Banana RAT se concentrează în mare măsură pe compromiterea sesiunilor bancare online și redirecționarea tranzacțiilor financiare fără ca victima să observe.

Lanțul de infecție și tacticile de evitare

Victimele sunt adesea păcălite să execute un fișier batch malițios numit Consultar_NF-e.bat. Fișierul este deghizat într-o factură electronică braziliană legitimă, cunoscută sub numele de NF-e (Nota Fiscal Eletrônica), un format recunoscut pe scară largă de companiile din Brazilia. Distribuirea are loc de obicei prin mesaje WhatsApp, campanii de phishing sau linkuri malițioase găzduite pe domenii controlate de atacatori.

Banana RAT funcționează folosind un model Malware-as-a-Service care se bazează pe seturi mari de sarcini utile polimorfice. În loc să livreze mostre identice de malware, atacatorii mențin între 100 și 200 de variante pregenerate, fiecare fiind criptată în mod unic pentru a evita metodele de detectare bazate pe hash. Fiecare sarcină utilă este protejată de nouă straturi de ofuscare și criptată folosind AES-256.

Odată ce fișierul batch malițios este lansat, un program de pregătire PowerShell ușor descarcă sarcina utilă criptată din a doua etapă din infrastructura atacatorului. Sarcina utilă este decriptată direct în memorie și executată fără a scrie cod lizibil pe disc, ceea ce face ca malware-ul să fie mult mai dificil de detectat pentru soluțiile antivirus tradiționale. Pentru a ascunde și mai mult comunicațiile, malware-ul își stabilește conexiunea Command-and-Control (C2) prin portul TCP 443 prin domenii typosquatted care imită infrastructura CDN Microsoft legitimă. Traficul este criptat cu AES-256-CBC și autentificat folosind token-uri HMAC legate la GUID-ul și adresa MAC ale mașinii infectate, asigurându-se că numai operatorii autorizați pot interacționa cu dispozitivul compromis.

Control complet de la distanță și manipulare bancară

După execuție, Banana RAT oferă operatorilor control direct și interactiv asupra sistemului infectat. Atacatorii pot transmite în timp real desktopul pe mai multe monitoare, pot simula introducerea de date de la tastatură și mouse și chiar pot dezactiva temporar dispozitivele de introducere de date ale victimei în timp ce tranzacțiile bancare neautorizate sunt efectuate în fundal.

Capacitățile de supraveghere ale malware-ului se extind dincolo de controlul de la distanță. Un keylogger integrat înregistrează continuu apăsările de taste într-un buffer circular pe care operatorii îl pot recupera la cerere. De asemenea, este implementată monitorizarea clipboard-ului, permițând atacatorilor să înlocuiască în mod silențios conținutul copiat, inclusiv adresele portofelului de criptomonede, cu alternative controlate de actorul amenințător.

O caracteristică distinctivă majoră a Banana RAT este sistemul său de suprapunere axat pe sistemul bancar. Malware-ul monitorizează titlurile ferestrelor active ale browserului și le compară cu o listă hardcoded de 16 instituții financiare braziliene, inclusiv Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal și Banco do Brasil, alături de platforme de schimb de criptomonede care operează în Brazilia. Când este detectată o potrivire, atacatorii pot implementa suprapuneri convingătoare pe ecran complet care imită portaluri bancare legitime sau notificări Windows Update, mascând acțiunile frauduloase care au loc în culise.

Deturnarea codurilor QR Pix și persistența pe termen lung

Banana RAT include un subsistem dedicat care vizează Pix, platforma de plăți instantanee din Brazilia. Prin încărcarea bibliotecii de procesare a codurilor de bare ZXing în timpul rulării, malware-ul scanează ecranul victimei pentru coduri QR Pix. Odată detectat, atacatorii pot înlocui codurile QR legitime pentru plăți cu versiuni frauduloase care redirecționează fondurile către conturi aflate sub controlul lor. Tactici similare de manipulare a codurilor QR au fost observate anterior la troienii bancari brazilieni, cum ar fi Mekotio și CHAVECLOAK, întărind clasificarea Banana RAT în cadrul ecosistemului malware Tetrade.

Pentru a menține persistența, malware-ul creează o intrare ascunsă în Windows Task Scheduler, configurată să relanseze sarcina PowerShell în fiecare minut, timp de 9.999 de zile. Sarcina programată se execută cu ferestre ascunse și ocolind politicile de execuție, împiedicând apariția solicitărilor vizibile sau a ferestrelor consolei. Banana RAT se copiază, de asemenea, în directoare concepute pentru a semăna cu căile de diagnosticare Microsoft legitime, ajutându-l să se integreze în locațiile de sistem de încredere și să evite inspecțiile ocazionale.

Metode principale de administrare și semne de avertizare

Campaniile Banana RAT se bazează în principal pe inginerie socială și tehnici înșelătoare de livrare a fișierelor. Metodele comune de infectare includ:

• E-mailuri de tip phishing care conțin atașamente false la facturi sau linkuri de descărcare rău intenționate
• Mesaje WhatsApp și de pe platformele de chat care conțin documente NF-e deghizate
• Descărcări automate de pe site-uri web compromise și reclame rău intenționate
• Software piratat, actualizări de software false și aplicații piratate
• Formate de fișiere rău intenționate, cum ar fi BAT, JavaScript, comenzi rapide LNK, arhive ZIP sau RAR, documente Office, programe de instalare EXE și pachete MSI

Indicatori de compromis și măsuri defensive

Banana RAT este special conceput pentru a fura bani de la utilizatorii băncilor din Brazilia în timp real. Combinația sa de acces de la distanță live, furt de acreditări, manipulare a codurilor QR și suprapuneri bancare permite atacatorilor să deturneze complet sesiunile financiare, ascunzând în același timp tranzacțiile frauduloase de victime.

Printre potențialii indicatori ai compromiterii se numără:

• Sarcini planificate neașteptate configurate pentru a lansa comenzi PowerShell ascunse
• Conexiuni de ieșire suspecte prin canale criptate care uzurpă identitatea infrastructurii Microsoft
• Comportament neobișnuit al mouse-ului sau al tastaturii în timpul sesiunilor de banking online
• Transferuri Pix neautorizate sau modificări inexplicabile ale portofelului de criptomonede
• Procese PowerShell ascunse și activitate anormală a contului bancar

Orice sistem suspectat de infectare trebuie izolat imediat. Acreditările bancare salvate, conținutul clipboard-ului, token-urile de autentificare și informațiile despre portofelul de criptomonede trebuie tratate ca fiind compromise, iar toate parolele și acreditările de acces financiar asociate trebuie resetate fără întârziere.