Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Banana RAT

Banana RAT

Med Mezo år Skadlig programvara, Fjärradministrationsverktyg
Översätt till:

Banana RAT är en sofistikerad fjärråtkomsttrojan (RAT) för banker som är speciellt utformad för att rikta in sig på användare i Brasilien. Säkerhetsforskare tillskriver kampanjen hotgruppen SHADOW-WATER-063, som är nära förknippad med Brasiliens ökända ekosystem för bankskadlig kod Tetrade. Detta bredare ekosystem inkluderar redan välkända familjer av skadlig kod som Grandoreiro, Mekotio, Casbaneiro, Guildma och CHAVECLOAK.

Den skadliga programvaran ger angripare omfattande kontroll över infekterade system, vilket möjliggör skärmövervakning i realtid, manipulation av tangentbord och mus, loggning av tangenttryckningar, avlyssning av urklipp och distribution av falska bank- eller Windows Update-skärmar som är utformade för att dölja bedräglig finansiell aktivitet. Banana RAT är starkt fokuserat på att kompromettera onlinebanksessioner och omdirigera finansiella transaktioner utan att offret märker det.

Infektionskedjan och undvikande taktiker

Offren luras ofta att köra en skadlig batchfil med namnet Consultar_NF-e.bat. Filen är förklädd till en legitim brasiliansk elektronisk faktura som kallas NF-e (Nota Fiscal Eletrônica), ett format som är allmänt känt av företag i hela Brasilien. Distribution sker vanligtvis via WhatsApp-meddelanden, nätfiskekampanjer eller skadliga länkar som finns på angriparkontrollerade domäner.

Banana RAT använder en Malware-as-a-Service-modell som förlitar sig på stora pooler av polymorfa nyttolaster. Istället för att leverera identiska skadliga exempel, behåller angriparna mellan 100 och 200 förgenererade varianter, var och en unikt krypterad för att undvika hashbaserade detekteringsmetoder. Varje nyttolast är skyddad av nio lager av obfuskation och krypterad med AES-256.

När den skadliga batchfilen har startats laddar en lätt PowerShell-stager ner den krypterade andra-stegsnyttolasten från angriparens infrastruktur. Nyttolasten dekrypteras direkt i minnet och körs utan att läsbar kod skrivs till disken, vilket gör skadlig programvara betydligt svårare för traditionella antiviruslösningar att upptäcka. För att ytterligare dölja kommunikationen upprättar skadlig programvara sin Command-and-Control (C2)-anslutning via TCP-port 443 genom typosquatted-domäner som imiterar legitim Microsoft CDN-infrastruktur. Trafiken krypteras med AES-256-CBC och autentiseras med hjälp av HMAC-tokens länkade till den infekterade maskinens GUID och MAC-adress, vilket säkerställer att endast behöriga operatörer kan interagera med den komprometterade enheten.

Fullständig fjärrkontroll och bankmanipulation

Efter körning ger Banana RAT operatörerna direkt och interaktiv kontroll över det infekterade systemet. Angripare kan strömma skrivbordet över flera skärmar i realtid, simulera tangentbords- och musinmatning och till och med tillfälligt inaktivera offrets egna inmatningsenheter medan obehöriga banktransaktioner utförs i bakgrunden.

Den skadliga programvarans övervakningsmöjligheter sträcker sig bortom fjärrkontroll. En integrerad keylogger registrerar kontinuerligt tangenttryckningar i en ringbuffert som operatörer kan hämta på begäran. Urklippsövervakning är också implementerad, vilket gör det möjligt för angripare att tyst ersätta kopierat innehåll, inklusive adresser till kryptovalutaplånböcker, med alternativ som kontrolleras av hotbildsaktören.

Ett viktigt utmärkande drag för Banana RAT är dess bankfokuserade overlay-system. Skadlig programvara övervakar aktiva webbläsarfönstertitlar och jämför dem med en hårdkodad lista över 16 brasilianska finansinstitut, inklusive Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal och Banco do Brasil, samt kryptovalutaväxlingsplattformar som är verksamma i Brasilien. När en matchning upptäcks kan angriparna distribuera övertygande helskärmsöverlagringar som imiterar legitima bankportaler eller Windows Update-meddelanden, vilket maskerar de bedrägerier som sker bakom kulisserna.

Kapning av Pix QR-koder och långvarig beständighet

Banana RAT inkluderar ett dedikerat delsystem som riktar sig mot Pix, Brasiliens plattform för direktbetalningar. Genom att ladda ZXings streckkodsbehandlingsbibliotek vid körning skannar skadlig programvara offrets skärm efter Pix QR-koder. När den upptäckts kan angripare ersätta legitima QR-koder för betalningar med bedrägliga versioner som omdirigerar pengar till konton under deras kontroll. Liknande taktiker för manipulation av QR-koder har tidigare observerats i brasilianska banktrojaner som Mekotio och CHAVECLOAK, vilket förstärker Banana RATs klassificering inom Tetrade-skadlig programvarans ekosystem.

För att bibehålla beständigheten skapar skadlig programvara en dold Windows Task Scheduler-post som är konfigurerad för att starta om PowerShell-nyttolasten varje minut i 9 999 dagar. Den schemalagda uppgiften körs med dolda fönster och kringgående körningspolicyer, vilket förhindrar att synliga prompter eller konsolfönster visas. Banana RAT kopierar sig också till kataloger som är utformade för att likna legitima Microsoft-diagnostiksökvägar, vilket hjälper den att smälta in i betrodda systemplatser och undvika tillfällig inspektion.

Primära leveransmetoder och varningssignaler

Banana RAT-kampanjer förlitar sig främst på social ingenjörskonst och vilseledande filleveranstekniker. Vanliga infektionsmetoder inkluderar:

  • Nätfiskemejl med falska fakturabifogade filer eller skadliga nedladdningslänkar
  • WhatsApp- och chattplattformsmeddelanden som innehåller förklädda NF-e-dokument
  • Drive-by-nedladdningar från komprometterade webbplatser och skadlig reklam
  • Piratkopierad programvara, falska programuppdateringar och spruckna applikationer
  • Skadliga filformat som BAT, JavaScript, LNK-genvägar, ZIP- eller RAR-arkiv, Office-dokument, EXE-installationsprogram och MSI-paket

Indikatorer på kompromiss och defensiva åtgärder

Banana RAT är specifikt konstruerat för att stjäla pengar från brasilianska bankanvändare i realtid. Dess kombination av fjärråtkomst i realtid, stöld av autentiseringsuppgifter, manipulation av QR-koder och banköverlagringar gör det möjligt för angripare att kapa finansiella sessioner samtidigt som de döljer bedrägliga transaktioner från offren.

Potentiella indikatorer på kompromiss inkluderar:

  • Oväntade schemalagda uppgifter konfigurerade för att starta dolda PowerShell-kommandon
  • Misstänkta utgående anslutningar över krypterade kanaler som utger sig för att vara Microsofts infrastruktur
  • Ovanligt mus- eller tangentbordsbeteende under internetbanksessioner
  • Obehöriga Pix-överföringar eller oförklarade ändringar i kryptovalutaplånboken
  • Dolda PowerShell-processer och onormal bankkontoaktivitet

Alla system som misstänks vara infekterade bör isoleras omedelbart. Sparade bankuppgifter, innehåll i urklipp, autentiseringstokens och information om kryptovalutaplånböcker bör behandlas som komprometterade, och alla tillhörande lösenord och finansiella åtkomstuppgifter bör återställas utan dröjsmål.

Trendigt

Säkerhetsuppdatering för att identifiera betrodda...

Nätfiske, Spam
Oväntade e-postmeddelanden som kräver omedelbara åtgärder bör alltid behandlas med försiktighet, särskilt när de involverar säkerhetsvarningar för konton eller förfrågningar om att verifiera personlig information. Cyberbrottslingar döljer ofta nätfiskemeddelanden som officiella aviseringar för att manipulera mottagare att avslöja känslig information. E-postmeddelandena "Säkerhetsuppdatering för...

Mest sedda

Läser in...