Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Banana RAT

Banana RAT

Do roku Mezo v roku Malvér, Nástroje vzdialenej správy
Preložiť do:

Banana RAT je sofistikovaný bankový trójsky kôň pre vzdialený prístup (RAT) navrhnutý špeciálne pre zacielenie na používateľov v Brazílii. Bezpečnostní výskumníci pripisujú kampaň skupine hrozieb SHADOW-WATER-063, ktorá je úzko spojená s notoricky známym brazílskym ekosystémom bankového malvéru Tetrade. Tento širší ekosystém už zahŕňa známe rodiny malvéru, ako sú Grandoreiro, Mekotio, Casbaneiro, Guildma a CHAVECLOAK.

Tento malvér poskytuje útočníkom rozsiahlu kontrolu nad infikovanými systémami, čo umožňuje monitorovanie obrazovky v reálnom čase, manipuláciu s klávesnicou a myšou, zaznamenávanie stlačení klávesov, zachytávanie schránky a nasadzovanie falošných bankových obrazoviek alebo obrazoviek aktualizácií systému Windows určených na zakrytie podvodnej finančnej aktivity. Banana RAT sa silne zameriava na ohrozenie online bankových relácií a presmerovanie finančných transakcií bez toho, aby si to obeť všimla.

Reťazec infekcie a taktiky úniku

Obete sú bežne oklamané a spustia škodlivý dávkový súbor s názvom Consultar_NF-e.bat. Súbor je maskovaný ako legitímna brazílska elektronická faktúra známa ako NF-e (Nota Fiscal Eletrônica), čo je formát, ktorý firmy v celej Brazílii všeobecne uznávajú. Distribúcia zvyčajne prebieha prostredníctvom správ WhatsApp, phishingových kampaní alebo škodlivých odkazov hostovaných na doménach kontrolovaných útočníkom.

Banana RAT funguje na základe modelu Malware-as-a-Service, ktorý sa spolieha na veľké množstvo polymorfných dát. Namiesto poskytovania identických vzoriek malvéru útočníci udržiavajú 100 až 200 vopred vygenerovaných variantov, pričom každý z nich je jedinečne premiešaný, aby sa vyhol detekčným metódam založeným na hašovaní. Každý dátový súbor je chránený deviatimi vrstvami obfuskácie a šifrovaný pomocou AES-256.

Po spustení škodlivého dávkového súboru si ľahký PowerShell stager stiahne zašifrované dáta druhej fázy z infraštruktúry útočníka. Dáta sa dešifrujú priamo v pamäti a spustia bez zápisu čitateľného kódu na disk, čo tradičným antivírusovým riešeniam výrazne sťažuje detekciu malvéru. Pre ďalšie utajenie komunikácie malvér nadväzuje svoje pripojenie Command-and-Control (C2) cez TCP port 443 prostredníctvom domén s preklepmi, ktoré napodobňujú legitímnu infraštruktúru Microsoft CDN. Prevádzka je šifrovaná pomocou AES-256-CBC a overovaná pomocou tokenov HMAC prepojených s GUID a MAC adresou infikovaného počítača, čím sa zabezpečí, že s napadnutým zariadením môžu interagovať iba autorizovaní operátori.

Úplné diaľkové ovládanie a manipulácia s bankovými účtami

Po spustení poskytuje Banana RAT operátorom priamu a interaktívnu kontrolu nad infikovaným systémom. Útočníci môžu streamovať pracovnú plochu na viacero monitorov v reálnom čase, simulovať vstup z klávesnice a myši a dokonca dočasne deaktivovať vlastné vstupné zariadenia obete, zatiaľ čo sa na pozadí vykonávajú neoprávnené bankové transakcie.

Sledovacie schopnosti malvéru presahujú rámec diaľkového ovládania. Integrovaný keylogger nepretržite zaznamenáva stlačenia klávesov do kruhovej vyrovnávacej pamäte, ktorú si operátori môžu na požiadanie vyhľadať. Implementované je aj monitorovanie schránky, ktoré útočníkom umožňuje ticho nahradiť skopírovaný obsah vrátane adries kryptomenových peňaženiek alternatívami kontrolovanými útočníkom.

Hlavným rozlišovacím znakom škodlivého softvéru Banana RAT je jeho systém prekrytí zameraný na bankovníctvo. Škodlivý softvér monitoruje aktívne názvy okien prehliadača a porovnáva ich s pevne zakódovaným zoznamom 16 brazílskych finančných inštitúcií vrátane Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal a Banco do Brasil, ako aj s platformami na výmenu kryptomien pôsobiacimi v Brazílii. Keď útočníci zistí zhodu, môžu nasadiť presvedčivé prekrytia na celú obrazovku, ktoré napodobňujú legitímne bankové portály alebo upozornenia služby Windows Update, čím maskujú podvodné akcie odohrávajúce sa v zákulisí.

Únos QR kódu Pix a dlhodobá perzistencia

Banana RAT obsahuje špecializovaný podsystém zameraný na Pix, brazílsku platformu okamžitých platieb. Načítaním knižnice ZXing na spracovanie čiarových kódov počas behu malvér skenuje obrazovku obete a hľadá QR kódy Pix. Po ich odhalení môžu útočníci nahradiť legitímne platobné QR kódy podvodnými verziami, ktoré presmerujú finančné prostriedky na účty, ktoré majú pod kontrolou. Podobné taktiky manipulácie s QR kódmi boli predtým pozorované u brazílskych bankových trójskych koní, ako sú Mekotio a CHAVECLOAK, čo posilňuje klasifikáciu Banana RAT v ekosystéme malvéru Tetrade.

Aby sa zachovala perzistencia, malvér vytvára skrytý záznam Plánovača úloh systému Windows nakonfigurovaný na reštartovanie užitočného zaťaženia PowerShell každú minútu počas 9 999 dní. Naplánovaná úloha sa vykonáva so skrytými oknami a obchádzaním politík vykonávania, čím sa zabraňuje zobrazovaniu viditeľných výziev alebo okien konzoly. Banana RAT sa tiež kopíruje do adresárov navrhnutých tak, aby pripomínali legitímne diagnostické cesty spoločnosti Microsoft, čo mu pomáha zapadnúť do dôveryhodných umiestnení v systéme a vyhnúť sa bežnej kontrole.

Primárne metódy doručenia a varovné signály

Kampane Banana RAT sa spoliehajú predovšetkým na sociálne inžinierstvo a techniky klamlivého doručovania súborov. Medzi bežné metódy infikovania patria:

  • Phishingové e-maily s falošnými prílohami faktúr alebo škodlivými odkazmi na stiahnutie
  • Správy cez WhatsApp a chatovacie platformy obsahujúce maskované dokumenty NF-e
  • Drive-by sťahovanie z napadnutých webových stránok a škodlivých reklám
  • Pirátsky softvér, falošné aktualizácie softvéru a cracknutá aplikácia
  • Škodlivé formáty súborov, ako napríklad BAT, JavaScript, skratky LNK, archívy ZIP alebo RAR, dokumenty balíka Office, inštalačné súbory EXE a balíky MSI

Indikátory kompromisu a obranných opatrení

Banana RAT je špeciálne navrhnutý tak, aby v reálnom čase kradol peniaze brazílskym bankovým používateľom. Jeho kombinácia vzdialeného prístupu v reálnom čase, krádeže prihlasovacích údajov, manipulácie s QR kódmi a bankových prekrytí umožňuje útočníkom úplne zneužiť finančné relácie a zároveň pred obeťami skryť podvodné transakcie.

Medzi možné indikátory kompromitácie patria:

  • Neočakávané naplánované úlohy nakonfigurované na spustenie skrytých príkazov PowerShellu
  • Podozrivé odchádzajúce pripojenia cez šifrované kanály vydávajúce sa za infraštruktúru spoločnosti Microsoft
  • Nezvyčajné správanie myši alebo klávesnice počas online bankovníctva
  • Neoprávnené prevody Pix alebo nevysvetlené zmeny v kryptomenovej peňaženke
  • Skryté procesy PowerShellu a abnormálna aktivita bankových účtov

Akýkoľvek systém podozrivý z infekcie by mal byť okamžite izolovaný. Uložené bankové prihlasovacie údaje, obsah schránky, autentifikačné tokeny a informácie o kryptomenových peňaženkách by sa mali považovať za kompromitované a všetky súvisiace heslá a prihlasovacie údaje pre finančné prostriedky by sa mali bezodkladne resetovať.

Trendy

Aktualizácia zabezpečenia na rozpoznávanie...

Phishing, Spam
Neočakávané e-maily, ktoré vyžadujú urgentný zásah, by sa mali vždy brať opatrne, najmä ak obsahujú upozornenia týkajúce sa zabezpečenia účtu alebo žiadosti o overenie osobných údajov. Kyberzločinci často maskujú phishingové správy ako oficiálne oznámenia, aby manipulovali s príjemcami a prinútili ich prezradiť citlivé údaje. E-maily s názvom „Aktualizácia zabezpečenia na rozpoznávanie...

Najviac videné

Načítava...