Банановая КРЫСА
Banana RAT — это сложный банковский троян удаленного доступа (RAT), разработанный специально для пользователей в Бразилии. Исследователи безопасности связывают эту кампанию с группой угроз SHADOW-WATER-063, тесно связанной с печально известной бразильской экосистемой банковских вредоносных программ Tetrade. Эта более широкая экосистема уже включает в себя такие известные семейства вредоносных программ, как Grandoreiro, Mekotio, Casbaneiro, Guildma и CHAVECLOAK.
Вредоносная программа предоставляет злоумышленникам обширный контроль над зараженными системами, позволяя осуществлять мониторинг экрана в реальном времени, манипулировать клавиатурой и мышью, регистрировать нажатия клавиш, перехватывать содержимое буфера обмена и запускать поддельные банковские окна или окна обновления Windows, предназначенные для сокрытия мошеннической финансовой деятельности. Banana RAT в значительной степени ориентирована на компрометацию онлайн-банковских сессий и перенаправление финансовых транзакций без ведома жертвы.
Оглавление
Цепочка заражения и тактика уклонения
Жертв часто обманом заставляют запустить вредоносный пакетный файл под названием Consultar_NF-e.bat. Этот файл замаскирован под легитимный бразильский электронный счет-фактуру, известный как NF-e (Nota Fiscal Eletrônica), формат, широко используемый предприятиями по всей Бразилии. Распространение обычно происходит через сообщения WhatsApp, фишинговые кампании или вредоносные ссылки, размещенные на доменах, контролируемых злоумышленниками.
Banana RAT работает по модели «вредоносное ПО как услуга» (Malware-as-a-Service), которая основана на больших пулах полиморфных полезных нагрузок. Вместо распространения идентичных образцов вредоносного ПО, злоумышленники поддерживают от 100 до 200 предварительно сгенерированных вариантов, каждый из которых уникально зашифрован для обхода методов обнаружения на основе хешей. Каждая полезная нагрузка защищена девятью уровнями обфускации и зашифрована с использованием AES-256.
После запуска вредоносного пакетного файла легковесный PowerShell-загрузчик загружает зашифрованную полезную нагрузку второго этапа из инфраструктуры злоумышленника. Полезная нагрузка расшифровывается непосредственно в памяти и выполняется без записи читаемого кода на диск, что значительно затрудняет обнаружение вредоносного ПО традиционными антивирусными решениями. Для дальнейшего сокрытия связи вредоносное ПО устанавливает соединение управления и контроля (C2) через TCP-порт 443 с использованием доменов с опечатками, имитирующих легитимную инфраструктуру CDN Microsoft. Трафик шифруется с помощью AES-256-CBC и аутентифицируется с использованием токенов HMAC, связанных с GUID и MAC-адресом зараженной машины, что гарантирует, что только авторизованные операторы могут взаимодействовать с скомпрометированным устройством.
Полное дистанционное управление и банковские операции.
После запуска Banana RAT предоставляет операторам прямой и интерактивный контроль над зараженной системой. Злоумышленники могут в режиме реального времени транслировать изображение рабочего стола на несколько мониторов, имитировать ввод с клавиатуры и мыши и даже временно отключать собственные устройства ввода жертвы, пока в фоновом режиме выполняются несанкционированные банковские операции.
Возможности слежки вредоносной программы выходят за рамки удаленного управления. Встроенный кейлоггер непрерывно записывает нажатия клавиш в кольцевой буфер, который операторы могут извлечь по запросу. Также реализован мониторинг буфера обмена, позволяющий злоумышленникам незаметно заменять скопированный контент, включая адреса криптовалютных кошельков, альтернативными вариантами, контролируемыми злоумышленником.
Одной из главных отличительных особенностей Banana RAT является система наложений, ориентированная на банковскую сферу. Вредоносная программа отслеживает заголовки активных окон браузера и сравнивает их с жестко закодированным списком из 16 бразильских финансовых учреждений, включая Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal и Banco do Brasil, а также криптовалютные биржи, работающие в Бразилии. При обнаружении совпадения злоумышленники могут развернуть убедительные полноэкранные наложения, имитирующие легитимные банковские порталы или уведомления Windows Update, маскируя мошеннические действия, происходящие за кулисами.
Перехват QR-кода Pix и его длительное сохранение
Banana RAT включает в себя специальную подсистему, нацеленную на Pix, бразильскую платформу мгновенных платежей. Загружая библиотеку обработки штрихкодов ZXing во время выполнения, вредоносная программа сканирует экран жертвы на наличие QR-кодов Pix. После обнаружения злоумышленники могут заменить легитимные платежные QR-коды мошенническими версиями, которые перенаправляют средства на счета, находящиеся под их контролем. Аналогичные методы манипулирования QR-кодами ранее наблюдались в бразильских банковских троянах, таких как Mekotio и CHAVECLOAK, что подтверждает принадлежность Banana RAT к экосистеме вредоносных программ Tetrade.
Для обеспечения постоянного присутствия вредоносная программа создает скрытую запись в планировщике задач Windows, настроенную на перезапуск полезной нагрузки PowerShell каждую минуту в течение 9999 дней. Запланированная задача выполняется со скрытыми окнами и обходит политики выполнения, предотвращая появление видимых подсказок или окон консоли. Banana RAT также копирует себя в каталоги, имитирующие легитимные пути диагностики Microsoft, что помогает ему сливаться с доверенными системными каталогами и избегать случайной проверки.
Основные методы родоразрешения и предупреждающие признаки
Кампании по распространению Banana RAT в основном используют методы социальной инженерии и обманные способы доставки файлов. К распространенным методам заражения относятся:
- Фишинговые электронные письма, содержащие поддельные вложения в виде счетов-фактур или вредоносные ссылки для скачивания.
- Сообщения в WhatsApp и чат-платформах, содержащие замаскированные документы NF-e.
- Скрытые загрузки с скомпрометированных веб-сайтов и вредоносная реклама
- Пиратское программное обеспечение, поддельные обновления программного обеспечения и взломанные приложения.
- Вредоносные форматы файлов, такие как BAT, JavaScript, ярлыки LNK, ZIP или RAR архивы, документы Office, установщики EXE и пакеты MSI.
Индикаторы компромисса и оборонительные меры
Banana RAT специально разработана для кражи денег у бразильских пользователей банковских счетов в режиме реального времени. Сочетание удаленного доступа в реальном времени, кражи учетных данных, манипулирования QR-кодами и банковских наложений позволяет злоумышленникам полностью перехватывать финансовые операции, скрывая мошеннические транзакции от жертв.
К потенциальным признакам компромисса относятся:
- Неожиданные запланированные задачи, настроенные на запуск скрытых команд PowerShell.
- Подозрительные исходящие соединения по зашифрованным каналам, имитирующие инфраструктуру Microsoft.
- Необычное поведение мыши или клавиатуры во время сеансов онлайн-банкинга.
- Несанкционированные переводы в Pix или необъяснимые изменения в криптовалютном кошельке.
- Скрытые процессы PowerShell и аномальная активность банковских счетов.
Любую систему, подозреваемую в заражении, следует немедленно изолировать. Сохраненные банковские учетные данные, содержимое буфера обмена, токены аутентификации и информация о криптовалютных кошельках должны рассматриваться как скомпрометированные, и все связанные с ними пароли и учетные данные для доступа к финансовым ресурсам следует незамедлительно сбросить.
