Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Banana RAT

Banana RAT

Nga MezoMalware, Mjetet e administrimit në distancë
Përkthe në:

Banana RAT është një Trojan i sofistikuar bankar me qasje në distancë (RAT) i projektuar posaçërisht për të synuar përdoruesit në Brazil. Studiuesit e sigurisë ia atribuojnë fushatën grupit të kërcënimeve SHADOW-WATER-063, i cili është i lidhur ngushtë me ekosistemin famëkeq të malware-it bankar Tetrade të Brazilit. Ky ekosistem më i gjerë përfshin tashmë familje të njohura të malware-it si Grandoreiro, Mekotio, Casbaneiro, Guildma dhe CHAVECLOAK.

Malware u ofron sulmuesve kontroll të gjerë mbi sistemet e infektuara, duke mundësuar monitorimin në kohë reale të ekranit, manipulimin e tastierës dhe mausit, regjistrimin e shtypjes së tasteve, përgjimin e clipboard-it dhe vendosjen e ekraneve të rreme bankare ose të Windows Update të dizajnuara për të fshehur aktivitetin financiar mashtrues. Banana RAT është shumë i fokusuar në kompromentimin e seancave bankare online dhe ridrejtimin e transaksioneve financiare pa e vënë re viktima.

Zinxhiri i Infeksionit dhe Taktikat e Shmangies

Viktimat zakonisht mashtrohen që të ekzekutojnë një skedar batch keqdashës të quajtur Consultar_NF-e.bat. Skedari është i maskuar si një faturë elektronike legjitime braziliane e njohur si NF-e (Nota Fiscal Eletrônica), një format i njohur gjerësisht nga bizneset në të gjithë Brazilin. Shpërndarja zakonisht ndodh përmes mesazheve WhatsApp, fushatave të phishing ose lidhjeve keqdashëse të vendosura në domene të kontrolluara nga sulmuesit.

Banana RAT operon duke përdorur një model Malware-as-a-Service që mbështetet në grupe të mëdha ngarkesash polimorfike. Në vend që të ofrojnë mostra identike të malware-it, sulmuesit mirëmbajnë midis 100 dhe 200 variante të para-gjeneruara, secila e fërkuar në mënyrë unike për të shmangur metodat e zbulimit të bazuara në hash. Çdo ngarkesë është e mbrojtur nga nëntë shtresa të errësimit dhe e enkriptuar duke përdorur AES-256.

Pasi të niset skedari batch i dëmshëm, një program i lehtë PowerShell shkarkon ngarkesën e enkriptuar të fazës së dytë nga infrastruktura e sulmuesit. Ngarkesa dekriptohet direkt në memorie dhe ekzekutohet pa shkruar kod të lexueshëm në disk, duke e bërë malware-in shumë më të vështirë për t'u zbuluar nga zgjidhjet tradicionale antivirus. Për të fshehur më tej komunikimet, malware-i krijon lidhjen e tij Command-and-Control (C2) mbi portin TCP 443 përmes domeneve të shtypura që imitojnë infrastrukturën legjitime të Microsoft CDN. Trafiku është i enkriptuar me AES-256-CBC dhe autentifikohet duke përdorur token-e HMAC të lidhura me GUID-in dhe adresën MAC të makinës së infektuar, duke siguruar që vetëm operatorët e autorizuar mund të bashkëveprojnë me pajisjen e kompromentuar.

Kontroll i plotë në distancë dhe manipulim bankar

Pas ekzekutimit, Banana RAT u jep operatorëve kontroll të drejtpërdrejtë dhe interaktiv mbi sistemin e infektuar. Sulmuesit mund të transmetojnë desktopin nëpër monitorë të shumtë në kohë reale, të simulojnë të dhënat e tastierës dhe mausit, dhe madje të çaktivizojnë përkohësisht pajisjet e hyrjes së viktimës, ndërsa transaksionet bankare të paautorizuara kryhen në sfond.

Aftësitë e mbikëqyrjes së malware-it shtrihen përtej kontrollit në distancë. Një regjistrues i integruar i tasteve regjistron vazhdimisht shtypjet e tasteve në një buffer unazor që operatorët mund ta rikuperojnë sipas kërkesës. Gjithashtu zbatohet monitorimi i clipboard-it, duke u lejuar sulmuesve të zëvendësojnë në heshtje përmbajtjen e kopjuar, duke përfshirë adresat e portofoleve të kriptomonedhave, me alternativa të kontrolluara nga aktori kërcënues.

Një tipar dallues kryesor i Banana RAT është sistemi i tij i mbivendosjes i fokusuar në banka. Malware monitoron titujt aktivë të dritareve të shfletuesit dhe i krahason ato me një listë të koduar prej 16 institucionesh financiare braziliane, duke përfshirë Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal dhe Banco do Brasil, së bashku me platformat e shkëmbimit të kriptomonedhave që operojnë në Brazil. Kur zbulohet një përputhje, sulmuesit mund të vendosin mbivendosje bindëse me ekran të plotë që imitojnë portalet legjitime bankare ose njoftimet e Windows Update, duke maskuar veprimet mashtruese që ndodhin prapa skenave.

Rrëmbimi i Kodit QR Pix dhe Qëndrueshmëria Afatgjatë

Banana RAT përfshin një nënsistem të dedikuar që synon Pix, platformën e pagesave të menjëhershme të Brazilit. Duke ngarkuar bibliotekën e përpunimit të barkodeve ZXing gjatë kohës së ekzekutimit, malware skanon ekranin e viktimës për kode QR Pix. Pasi të zbulohen, sulmuesit mund të zëvendësojnë kodet QR legjitime të pagesave me versione mashtruese që ridrejtojnë fondet në llogaritë nën kontrollin e tyre. Taktika të ngjashme të manipulimit të kodit QR janë vërejtur më parë në trojanë bankarë brazilianë si Mekotio dhe CHAVECLOAK, duke përforcuar klasifikimin e Banana RAT brenda ekosistemit të malware-it Tetrade.

Për të ruajtur qëndrueshmërinë, malware krijon një hyrje të fshehur të Windows Task Scheduler të konfiguruar për të rilançuar ngarkesën PowerShell çdo minutë për 9,999 ditë. Detyra e planifikuar ekzekutohet me dritare të fshehura dhe politika ekzekutimi të anashkaluara, duke parandaluar shfaqjen e kërkesave të dukshme ose dritareve të konsolës. Banana RAT gjithashtu kopjon veten në drejtori të dizajnuara për t'u ngjarë shtigjeve legjitime diagnostikuese të Microsoft, duke e ndihmuar atë të përzihet me vendndodhje të besueshme të sistemit dhe të shmangë inspektimin rastësor.

Metodat kryesore të dorëzimit dhe shenjat paralajmëruese

Fushatat Banana RAT mbështeten kryesisht në inxhinierinë sociale dhe teknikat mashtruese të dorëzimit të skedarëve. Metodat e zakonshme të infektimit përfshijnë:

  • Email-e phishing që përmbajnë bashkëngjitje të rreme faturash ose lidhje shkarkimi me qëllim të keq
  • Mesazhe në WhatsApp dhe platforma chat që përmbajnë dokumente të maskuara NF-e
  • Shkarkime të shpejta nga faqet e internetit të kompromentuara dhe reklamat keqdashëse
  • Softuer i piratuar, përditësime të rreme të softuerëve dhe aplikacione të hakuara
  • Formate skedarësh keqdashës si BAT, JavaScript, shkurtore LNK, arkiva ZIP ose RAR, dokumente Office, instalues EXE dhe paketa MSI

Treguesit e Kompromisit dhe Masave Mbrojtëse

Banana RAT është projektuar posaçërisht për të vjedhur para nga përdoruesit e bankave brazilianë në kohë reale. Kombinimi i tij i aksesit të drejtpërdrejtë në distancë, vjedhjes së kredencialeve, manipulimit të kodit QR dhe mbivendosjeve bankare u lejon sulmuesve të rrëmbejnë plotësisht seancat financiare duke fshehur transaksionet mashtruese nga viktimat.

Treguesit e mundshëm të kompromisit përfshijnë:

  • Detyra të planifikuara të papritura të konfiguruara për të nisur komandat e fshehura të PowerShell
  • Lidhje të dyshimta dalëse përmes kanaleve të enkriptuara që imitojnë infrastrukturën e Microsoft-it
  • Sjellje e pazakontë e mausit ose tastierës gjatë seancave të bankave online
  • Transferta të paautorizuara Pix ose ndryshime të pashpjegueshme të portofolit të kriptomonedhave
  • Proceset e fshehura të PowerShell dhe aktiviteti jonormal i llogarisë bankare

Çdo sistem i dyshuar për infeksion duhet të izolohet menjëherë. Kredencialet bankare të ruajtura, përmbajtja e clipboard-it, tokenët e autentifikimit dhe informacioni i portofolit të kriptomonedhave duhet të trajtohen si të kompromentuara dhe të gjitha fjalëkalimet dhe kredencialet e aksesit financiar që lidhen me to duhet të rivendosen pa vonesë.

Në trend

Përditësim sigurie për të njohur pajisjet dhe...

Fishing, Spam
Emailet e papritura që kërkojnë veprime urgjente duhet të trajtohen gjithmonë me kujdes, veçanërisht kur ato përfshijnë paralajmërime për sigurinë e llogarisë ose kërkesa për të verifikuar informacionin personal. Kriminelët kibernetikë shpesh i maskojnë mesazhet e phishing si njoftime zyrtare për të manipuluar marrësit që të zbulojnë të dhëna të ndjeshme. Emailet 'Përditësimi i Sigurisë për të...

Më e shikuara

Po ngarkohet...