Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Banana RAT

Banana RAT

Do leta Mezo leta Zlonamerna programska oprema, Orodja za oddaljeno upravljanje
Prevedi v:

Banana RAT je sofisticiran bančni trojanec za oddaljeni dostop (RAT), zasnovan posebej za ciljanje uporabnikov v Braziliji. Varnostni raziskovalci kampanjo pripisujejo skupini groženj SHADOW-WATER-063, ki je tesno povezana z razvpitim brazilskim ekosistemom bančne zlonamerne programske opreme Tetrade. Ta širši ekosistem že vključuje znane družine zlonamerne programske opreme, kot so Grandoreiro, Mekotio, Casbaneiro, Guildma in CHAVECLOAK.

Zlonamerna programska oprema napadalcem omogoča obsežen nadzor nad okuženimi sistemi, kar omogoča spremljanje zaslona v realnem času, manipulacijo s tipkovnico in miško, beleženje pritiskov tipk, prestrezanje odložišča in namestitev lažnih bančnih zaslonov ali zaslonov za posodobitve sistema Windows, namenjenih prikrivanju goljufivih finančnih dejavnosti. Banana RAT je močno osredotočen na ogrožanje spletnih bančnih sej in preusmerjanje finančnih transakcij, ne da bi žrtev to opazila.

Veriga okužbe in taktike izogibanja

Žrtve so pogosto prevarane, da izvedejo zlonamerno paketno datoteko z imenom Consultar_NF-e.bat. Datoteka je prikrita kot legitimni brazilski elektronski račun, znan kot NF-e (Nota Fiscal Eletrônica), format, ki ga podjetja po vsej Braziliji široko prepoznavajo. Distribucija običajno poteka prek sporočil WhatsApp, lažnega predstavljanja ali zlonamernih povezav, ki gostujejo na domenah, ki jih nadzorujejo napadalci.

Banana RAT deluje po modelu zlonamerne programske opreme kot storitve (Malware-as-a-Service), ki se zanaša na velike skupine polimorfnih koristnih podatkov. Namesto da bi napadalci dostavljali enake vzorce zlonamerne programske opreme, vzdržujejo med 100 in 200 vnaprej generiranih različic, od katerih je vsaka edinstveno premešana, da se izogne metodam zaznavanja na podlagi zgoščevalne vrednosti (hash). Vsak koristni podatki so zaščiteni z devetimi plastmi zakrivanja in šifrirani z AES-256.

Ko se zažene zlonamerna paketna datoteka, lahki PowerShell stager prenese šifriran koristni tovor druge stopnje iz infrastrukture napadalca. Koristni tovor se dešifrira neposredno v pomnilniku in izvede brez zapisovanja berljive kode na disk, zaradi česar je zlonamerna programska oprema bistveno težje zaznati s strani tradicionalnih protivirusnih rešitev. Za dodatno prikrivanje komunikacije zlonamerna programska oprema vzpostavi svojo povezavo Command-and-Control (C2) prek vrat TCP 443 prek domen z napačno napisanimi kodami, ki posnemajo legitimno infrastrukturo Microsoft CDN. Promet je šifriran z AES-256-CBC in overjen z žetoni HMAC, povezanimi z GUID in MAC naslovom okuženega računalnika, kar zagotavlja, da lahko z ogroženo napravo komunicirajo le pooblaščeni operaterji.

Popoln daljinski nadzor in bančna manipulacija

Po izvedbi Banana RAT operaterjem omogoči neposreden in interaktiven nadzor nad okuženim sistemom. Napadalci lahko v realnem času pretakajo namizje na več monitorjev, simulirajo vnos s tipkovnico in miško ter celo začasno onemogočijo vhodne naprave žrtve, medtem ko se v ozadju izvajajo nepooblaščene bančne transakcije.

Nadzorne zmogljivosti zlonamerne programske opreme segajo dlje od oddaljenega upravljanja. Integrirani zapisovalnik tipk neprekinjeno beleži pritiske tipk v medpomnilnik, ki ga lahko operaterji na zahtevo prikličejo. Izvedeno je tudi spremljanje odložišča, ki napadalcem omogoča, da tiho zamenjajo kopirano vsebino, vključno z naslovi denarnic za kriptovalute, z alternativami, ki jih nadzoruje akter grožnje.

Glavna značilnost virusa Banana RAT je njegov sistem prekrivanja, osredotočen na bančništvo. Zlonamerna programska oprema spremlja aktivne naslove oken brskalnika in jih primerja s kodiranim seznamom 16 brazilskih finančnih institucij, vključno z Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal in Banco do Brasil, ter platformami za menjavo kriptovalut, ki delujejo v Braziliji. Ko napadalci zaznajo ujemanje, lahko namestijo prepričljive prekrivne elemente čez celoten zaslon, ki posnemajo legitimne bančne portale ali obvestila storitve Windows Update in prikrijejo goljufiva dejanja v ozadju.

Ugrabitev QR kode Pix in dolgotrajna vztrajnost

Banana RAT vključuje namenski podsistem, ki cilja na Pix, brazilsko platformo za takojšnja plačila. Zlonamerna programska oprema z nalaganjem knjižnice za obdelavo črtnih kod ZXing med izvajanjem skenira zaslon žrtve za QR kode Pix. Ko jih napadalci zaznajo, lahko legitimne plačilne QR kode zamenjajo z goljufivimi različicami, ki preusmerijo sredstva na račune pod njihovim nadzorom. Podobne taktike manipulacije s QR kodami so bile že prej opažene pri brazilskih bančnih trojancih, kot sta Mekotio in CHAVECLOAK, kar utrjuje uvrstitev Banana RAT znotraj ekosistema zlonamerne programske opreme Tetrade.

Za ohranitev obstojnosti zlonamerna programska oprema ustvari skriti vnos v razporejevalnik opravil sistema Windows, konfiguriran tako, da vsako minuto 9999 dni znova zažene koristni tovor PowerShell. Načrtovana naloga se izvede s skritimi okni in obide pravilnike izvajanja, kar preprečuje prikaz vidnih pozivov ali oken konzole. Banana RAT se tudi kopira v imenike, ki so zasnovani tako, da so podobni legitimnim Microsoftovim diagnostičnim potem, kar mu pomaga, da se zlije z zaupanja vrednimi sistemskimi lokacijami in se izogne naključnemu pregledu.

Primarni načini dostave in opozorilni znaki

Kampanje Banana RAT se v glavnem zanašajo na socialni inženiring in zavajajoče tehnike dostave datotek. Med pogoste metode okužbe spadajo:

  • E-poštna sporočila z lažnim predstavljanjem, ki vsebujejo lažne priloge računov ali zlonamerne povezave za prenos
  • Sporočila prek WhatsAppa in platform za klepet, ki vsebujejo prikrite dokumente NF-e
  • Prenosi s strani uporabnikov z ogroženih spletnih mest in zlonamerni oglasi
  • Piratska programska oprema, lažne posodobitve programske opreme in razpokane aplikacije
  • Zlonamerne oblike zapisa datotek, kot so BAT, JavaScript, bližnjice LNK, arhivi ZIP ali RAR, dokumenti sistema Office, namestitveni programi EXE in paketi MSI

Kazalniki kompromisa in obrambnih ukrepov

Banana RAT je posebej zasnovan za krajo denarja brazilskih bančnih uporabnikov v realnem času. Njegova kombinacija oddaljenega dostopa v živo, kraje poverilnic, manipulacije s QR kodami in bančnih prekrivnih elementov napadalcem omogoča popolno ugrabitev finančnih sej, hkrati pa prikrivanje goljufivih transakcij pred žrtvami.

Med možne kazalnike kompromisa spadajo:

  • Nepričakovana načrtovana opravila, konfigurirana za zagon skritih ukazov PowerShell
  • Sumljive odhodne povezave prek šifriranih kanalov, ki se izdajajo za Microsoftovo infrastrukturo
  • Nenavadno vedenje miške ali tipkovnice med spletnim bančništvom
  • Nepooblaščeni prenosi Pix ali nepojasnjene spremembe denarnice s kriptovalutami
  • Skriti procesi PowerShella in nenormalna aktivnost bančnih računov

Vsak sistem, za katerega obstaja sum okužbe, je treba takoj izolirati. Shranjene bančne podatke, vsebino odložišča, žetone za preverjanje pristnosti in podatke o denarnici s kriptovalutami je treba obravnavati kot ogrožene, vsa povezana gesla in poverilnice za finančni dostop pa je treba nemudoma ponastaviti.

V trendu

Varnostna posodobitev za prepoznavanje zaupanja...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki zahtevajo nujno ukrepanje, je treba vedno obravnavati previdno, zlasti če vključujejo opozorila o varnosti računa ali zahteve za preverjanje osebnih podatkov. Kibernetski kriminalci pogosto prikrivajo lažna sporočila kot uradna obvestila, da bi manipulirali s prejemniki in jih prisilili k razkritju občutljivih podatkov. E-poštna sporočila z oznako »Varnostna...

Najbolj gledan

Nalaganje...