Попуст за више лиценци
Тхреат Датабасе Малваре Банана пацов

Банана пацов

До Mezo. у Малваре, Алати за удаљену администрацију
Преведи на:

Banana RAT је софистицирани банкарски тројански вирус за даљински приступ (RAT) посебно дизајниран да циља кориснике у Бразилу. Истраживачи безбедности приписују кампању групи претњи SHADOW-WATER-063, која је уско повезана са озлоглашеним бразилским екосистемом банкарског малвера Tetrade. Овај шири екосистем већ укључује добро познате породице малвера као што су Grandoreiro, Mekotio, Casbaneiro, Guildma и CHAVECLOAK.

Злонамерни софтвер пружа нападачима опсежну контролу над зараженим системима, омогућавајући праћење екрана у реалном времену, манипулацију тастатуром и мишем, евидентирање откуцаја тастера, пресретање међуспремника и постављање лажних банкарских или Windows Update екрана дизајнираних да прикрију преварне финансијске активности. Banana RAT је у великој мери фокусиран на угрожавање сесија онлајн банкарства и преусмеравање финансијских трансакција без приметања жртве.

Ланац инфекције и тактике избегавања

Жртве се обично преваром наведу да покрену злонамерну командну датотеку под називом Consultar_NF-e.bat. Датотека је маскирана као легитимна бразилска електронска фактура позната као NF-e (Nota Fiscal Eletrônica), формат који предузећа широм Бразила широко препознају. Дистрибуција се обично одвија путем WhatsApp порука, фишинг кампања или злонамерних линкова хостованих на доменима које контролишу нападачи.

Banana RAT функционише користећи модел „Malware-as-a-Service“ који се ослања на велике базене полиморфних корисних података. Уместо да испоручују идентичне узорке малвера, нападачи одржавају између 100 и 200 унапред генерисаних варијанти, свака јединствено кодирана како би избегла методе детекције засноване на хешу. Сваки корисни садржај је заштићен са девет слојева обфускације и шифрован је помоћу AES-256.

Када се покрене злонамерна пакетна датотека, лагани PowerShell стагер преузима шифровани корисни терет друге фазе из инфраструктуре нападача. Корисни терет се дешифрује директно у меморији и извршава без писања читљивог кода на диск, што знатно отежава откривање злонамерног софтвера традиционалним антивирусним решењима. Да би додатно прикрио комуникацију, злонамерни софтвер успоставља своју командну и контролну (C2) везу преко TCP порта 443 кроз домене са грешкама у типографији који имитирају легитимну Microsoft CDN инфраструктуру. Саобраћај је шифрован помоћу AES-256-CBC и аутентификован помоћу HMAC токена повезаних са GUID и MAC адресом заражене машине, осигуравајући да само овлашћени оператери могу да комуницирају са угроженим уређајем.

Потпуна даљинска контрола и манипулација банкарским операцијама

Након извршења, Banana RAT оператерима даје директну и интерактивну контролу над зараженим системом. Нападачи могу да емитују слику на више монитора у реалном времену, симулирају унос са тастатуре и миша, па чак и привремено онемогуће улазне уређаје жртве док се у позадини обављају неовлашћене банкарске трансакције.

Могућности надзора злонамерног софтвера превазилазе даљинско управљање. Интегрисани програм за логеровање тастера континуирано снима притиске на тастатуре у ринг бафер који оператери могу да преузму на захтев. Такође је имплементирано праћење међуспремника, што омогућава нападачима да тихо замене копирани садржај, укључујући адресе крипто новчаника, алтернативама које контролише претња.

Главна карактеристика Banana RAT-а је његов систем преклапања фокусиран на банкарство. Злонамерни софтвер прати наслове активних прозора прегледача и упоређује их са чврсто кодираном листом од 16 бразилских финансијских институција, укључујући Itaú Unibanco, Bradesco, Santander Brasil, Caixa Economica Federal и Banco do Brasil, заједно са платформама за размену криптовалута које послују у Бразилу. Када се открије подударање, нападачи могу да примене убедљиве преклапања преко целог екрана која имитирају легитимне банкарске портале или обавештења Windows Update-а, маскирајући преварне радње које се одвијају иза кулиса.

Отмица QR кода на Pix-у и дуготрајна постојаност

Banana RAT укључује наменски подсистем усмерен на Pix, бразилску платформу за инстант плаћања. Учитавањем ZXing библиотеке за обраду баркодова током извршавања, злонамерни софтвер скенира екран жртве у потрази за Pix QR кодовима. Једном када буду детектовани, нападачи могу заменити легитимне QR кодове за плаћање лажним верзијама које преусмеравају средства на рачуне под њиховом контролом. Сличне тактике манипулације QR кодовима су раније примећене код бразилских банкарских тројанаца као што су Mekotio и CHAVECLOAK, што појачава класификацију Banana RAT-а унутар екосистема злонамерног софтвера Tetrade.

Да би одржао истрајност, злонамерни софтвер креира скривени унос у Windows Task Scheduler конфигурисан да поново покреће PowerShell корисни терет сваког минута током 9.999 дана. Заказани задатак се извршава са скривеним прозорима и заобилажењем политика извршавања, спречавајући појављивање видљивих упита или конзолних прозора. Banana RAT се такође копира у директоријуме дизајниране да личе на легитимне Microsoft дијагностичке путање, што му помаже да се уклопи у поуздане системске локације и избегне случајну инспекцију.

Примарни начини испоруке и упозоравајући знаци

Banana RAT кампање се првенствено ослањају на друштвени инжењеринг и обмањујуће технике испоруке датотека. Уобичајене методе инфекције укључују:

  • Фишинг имејлови са лажним прилозима фактура или злонамерним линковима за преузимање
  • Поруке на WhatsApp-у и платформама за ћаскање које садрже прикривене NF-e документе
  • Преузимања са компромитованих веб локација и злонамерних огласа
  • Пиратски софтвер, лажна ажурирања софтвера и крековане апликације
  • Злонамерни формати датотека као што су BAT, JavaScript, LNK пречице, ZIP или RAR архиве, Office документи, EXE инсталатери и MSI пакети

Индикатори компромиса и одбрамбених мера

Banana RAT је посебно дизајниран да краде новац од бразилских банкарских корисника у реалном времену. Његова комбинација даљинског приступа уживо, крађе акредитива, манипулације QR кодовима и банкарских преклапања омогућава нападачима да потпуно преузму финансијске сесије, док истовремено прикривају лажне трансакције од жртава.

Потенцијални индикатори компромиса укључују:

  • Неочекивани заказани задаци конфигурисани за покретање скривених PowerShell команди
  • Сумњиве одлазне везе преко шифрованих канала који се лажно представљају као Мајкрософтова инфраструктура
  • Необично понашање миша или тастатуре током сесија онлајн банкарства
  • Неовлашћени Pix трансфери или необјашњиве промене у криптовалутном новчанику
  • Скривени PowerShell процеси и абнормална активност банковних рачуна

Сваки систем за који се сумња да је заражен треба одмах изоловати. Сачуване банкарске податке, садржај међуспремника, токене за аутентификацију и информације о криптовалутним новчаницима треба третирати као угрожене, а све повезане лозинке и податке за финансијски приступ треба без одлагања ресетовати.

У тренду

Безбедносно ажурирање за препознавање поузданих...

Пецање, Спам
Неочекиване имејлове који захтевају хитну акцију увек треба третирати са опрезом, посебно када укључују упозорења о безбедности налога или захтеве за верификацију личних података. Сајбер криминалци често прикривају фишинг поруке као званична обавештења како би манипулисали примаоцима да открију осетљиве податке. Имејлови „Безбедносно ажурирање за препознавање поузданих уређаја и локација“ су...

Најгледанији

Учитавање...