Banana RAT
பனானா RAT என்பது பிரேசிலில் உள்ள பயனர்களைக் குறிவைப்பதற்காகவே பிரத்யேகமாக வடிவமைக்கப்பட்ட ஒரு அதிநவீன வங்கி ரிமோட் ஆக்சஸ் ட்ரோஜன் (RAT) ஆகும். பாதுகாப்பு ஆராய்ச்சியாளர்கள் இந்தத் தாக்குதல் நடவடிக்கைக்குக் காரணம் ஷேடோ-வாட்டர்-063 (SHADOW-WATER-063) என்ற அச்சுறுத்தல் குழுதான் என்று கூறுகின்றனர். இந்தக் குழு, பிரேசிலின் பெயர்போன டெட்ராட் (Tetrade) வங்கி மால்வேர் சூழலுடன் நெருங்கிய தொடர்புடையது. இந்த விரிவான சூழலில் ஏற்கெனவே கிராண்டோரிரோ (Grandoreiro), மெக்கோடியோ (Mekotio), காஸ்பானிரோ (Casbaneiro), கில்ட்மா (Guildma) மற்றும் சாவேக்லோக் (CHAVECLOAK) போன்ற நன்கு அறியப்பட்ட மால்வேர் குடும்பங்கள் அடங்கியுள்ளன.
இந்த மால்வேர், பாதிக்கப்பட்ட கணினிகள் மீது தாக்குபவர்களுக்கு விரிவான கட்டுப்பாட்டை வழங்குகிறது. இதன் மூலம், நிகழ்நேரத் திரை கண்காணிப்பு, விசைப்பலகை மற்றும் சுட்டியைக் கையாளுதல், விசை அழுத்தங்களைப் பதிவு செய்தல், கிளிப்போர்டை இடைமறித்தல், மற்றும் மோசடியான நிதிச் செயல்பாடுகளை மறைப்பதற்காக வடிவமைக்கப்பட்ட போலி வங்கி அல்லது விண்டோஸ் அப்டேட் திரைகளைப் பயன்படுத்துதல் போன்றவற்றைச் செய்ய முடிகிறது. பனானா RAT, பாதிக்கப்பட்டவர் கவனிக்காதவாறு ஆன்லைன் வங்கி அமர்வுகளைச் சிதைப்பதிலும், நிதிப் பரிவர்த்தனைகளைத் திசைதிருப்புவதிலும் அதிக கவனம் செலுத்துகிறது.
பொருளடக்கம்
தொற்று சங்கிலி மற்றும் தப்பிக்கும் உத்திகள்
பாதிக்கப்பட்டவர்கள் பொதுவாக Consultar_NF-e.bat என்ற தீங்கிழைக்கும் பேட்ச் கோப்பை இயக்குமாறு ஏமாற்றப்படுகிறார்கள். இந்தக் கோப்பு, பிரேசில் முழுவதும் உள்ள வணிகங்களால் பரவலாக அங்கீகரிக்கப்பட்ட வடிவமான NF-e (Nota Fiscal Eletrônica) எனப்படும் ஒரு முறையான பிரேசிலிய மின்னணு விலைப்பட்டியல் போல மாறுவேடமிடப்பட்டுள்ளது. இதன் பரவல் பொதுவாக வாட்ஸ்அப் செய்திகள், ஃபிஷிங் பிரச்சாரங்கள் அல்லது தாக்குபவரின் கட்டுப்பாட்டில் உள்ள டொமைன்களில் ஹோஸ்ட் செய்யப்பட்ட தீங்கிழைக்கும் இணைப்புகள் மூலம் நடைபெறுகிறது.
பனானா RAT, பல்வகைத் தன்மை கொண்ட பெரும் எண்ணிக்கையிலான பேலோடுகளைச் சார்ந்திருக்கும் 'மால்வேர்-ஒரு-சேவையாக' (Malware-as-a-Service) என்ற மாதிரியைப் பயன்படுத்தி இயங்குகிறது. ஒரே மாதிரியான மால்வேர் மாதிரிகளை வழங்குவதற்குப் பதிலாக, தாக்குதல் நடத்துபவர்கள் 100 முதல் 200 வரையிலான முன் உருவாக்கப்பட்ட மாறுபாடுகளைப் பராமரிக்கின்றனர்; இவற்றில் ஒவ்வொன்றும், ஹாஷ் அடிப்படையிலான கண்டறிதல் முறைகளைத் தவிர்ப்பதற்காகத் தனித்துவமாகக் குறியாக்கம் செய்யப்பட்டுள்ளது. ஒவ்வொரு பேலோடும் ஒன்பது அடுக்கு மறைப்புப் பாதுகாப்பு மூலம் பாதுகாக்கப்பட்டு, AES-256 குறியாக்கத்தைப் பயன்படுத்தி மறைகுறியாக்கம் செய்யப்பட்டுள்ளது.
தீங்கிழைக்கும் பேட்ச் கோப்பு தொடங்கப்பட்டவுடன், ஒரு இலகுவான பவர்ஷெல் ஸ்டேஜர், தாக்குபவரின் உள்கட்டமைப்பிலிருந்து மறைகுறியாக்கப்பட்ட இரண்டாம் கட்ட பேலோடைப் பதிவிறக்குகிறது. அந்த பேலோட் நேரடியாக நினைவகத்தில் மறைகுறியாக்கம் நீக்கப்பட்டு, வட்டில் படிக்கக்கூடிய குறியீட்டை எழுதாமல் இயக்கப்படுகிறது. இதனால், வழக்கமான வைரஸ் தடுப்புத் தீர்வுகள் இந்த மால்வேரைக் கண்டறிவது மிகவும் கடினமாகிறது. தகவல்தொடர்புகளை மேலும் மறைப்பதற்காக, இந்த மால்வேர் முறையான மைக்ரோசாஃப்ட் CDN உள்கட்டமைப்பைப் போலப் பாசாங்கு செய்யும் எழுத்துப்பிழை நீக்கப்பட்ட டொமைன்கள் வழியாக, TCP போர்ட் 443-இல் தனது கட்டளை மற்றும் கட்டுப்பாட்டு (C2) இணைப்பை நிறுவுகிறது. தரவுப் போக்குவரத்து AES-256-CBC மூலம் மறைகுறியாக்கப்பட்டு, பாதிக்கப்பட்ட கணினியின் GUID மற்றும் MAC முகவரியுடன் இணைக்கப்பட்ட HMAC டோக்கன்களைப் பயன்படுத்தி அங்கீகரிக்கப்படுகிறது. இதன்மூலம், அங்கீகரிக்கப்பட்ட இயக்குநர்கள் மட்டுமே பாதிக்கப்பட்ட சாதனத்துடன் தொடர்பு கொள்ள முடியும் என்பது உறுதி செய்யப்படுகிறது.
முழுமையான தொலைநிலைக் கட்டுப்பாடு மற்றும் வங்கிச் செயல்பாட்டு முறை
செயல்படுத்தப்பட்ட பிறகு, பனானா RAT பாதிக்கப்பட்ட கணினியின் மீது இயக்குபவர்களுக்கு நேரடி மற்றும் ஊடாடும் கட்டுப்பாட்டை வழங்குகிறது. தாக்குதல் நடத்துபவர்கள் டெஸ்க்டாப்பை நிகழ்நேரத்தில் பல திரைகளில் ஒளிபரப்பலாம், விசைப்பலகை மற்றும் சுட்டி உள்ளீட்டைப் போலச் செய்யலாம், மேலும் அங்கீகரிக்கப்படாத வங்கிப் பரிவர்த்தனைகள் பின்னணியில் செய்யப்படும்போது பாதிக்கப்பட்டவரின் சொந்த உள்ளீட்டுச் சாதனங்களைத் தற்காலிகமாக முடக்கவும் முடியும்.
இந்த மால்வேரின் கண்காணிப்புத் திறன்கள் தொலைநிலைக் கட்டுப்பாட்டையும் தாண்டி விரிவடைந்துள்ளன. இதில் ஒருங்கிணைக்கப்பட்ட விசைப்பதிவி (keylogger), விசை அழுத்தங்களைத் தொடர்ச்சியாக ஒரு ரிங் பஃபரில் (ring buffer) பதிவுசெய்கிறது, அதை இயக்குபவர்கள் தேவைப்படும்போது மீட்டெடுக்க முடியும். கிளிப்போர்டு கண்காணிப்பும் இதில் செயல்படுத்தப்பட்டுள்ளது. இது, கிரிப்டோகரன்சி வாலட் முகவரிகள் உட்பட, நகலெடுக்கப்பட்ட உள்ளடக்கங்களை, அந்த அச்சுறுத்தலைச் செய்பவரின் கட்டுப்பாட்டில் உள்ள மாற்று உள்ளடக்கங்களைக் கொண்டு தாக்குபவர்கள் யாருக்கும் தெரியாமல் மாற்றுவதற்கு அனுமதிக்கிறது.
பனானா RAT-இன் ஒரு முக்கிய தனித்துவமான அம்சம், அதன் வங்கி சார்ந்த மேலடுக்கு அமைப்பு ஆகும். இந்த மால்வேர், செயலில் உள்ள உலாவி சாளரங்களின் தலைப்புகளைக் கண்காணித்து, அவற்றை பிரேசிலில் செயல்படும் இட்டாவு யூனிபான்கோ, பிராடெஸ்கோ, சாண்டாண்டர் பிரேசில், கைசா எக்கனாமிகா ஃபெடரல் மற்றும் பாங்கோ டோ பிரேசில் உள்ளிட்ட 16 பிரேசிலிய நிதி நிறுவனங்கள் மற்றும் கிரிப்டோகரன்சி பரிமாற்றத் தளங்களின் நிரலில் நேரடியாகப் பதியப்பட்ட பட்டியலுடன் ஒப்பிடுகிறது. ஒரு பொருத்தம் கண்டறியப்படும்போது, தாக்குதல் நடத்துபவர்கள் உண்மையான வங்கி இணையதளங்கள் அல்லது விண்டோஸ் அப்டேட் அறிவிப்புகளைப் போல தோற்றமளிக்கும் நம்பகமான முழுத்திரை மேலடுக்குகளைப் பயன்படுத்த முடியும். இதன் மூலம், திரைக்குப் பின்னால் நடக்கும் மோசடிச் செயல்களை மறைத்துவிடுகிறார்கள்.
பிக்ஸ் கியூஆர் குறியீடு அபகரிப்பு மற்றும் நீண்ட கால நிலைத்தன்மை
பனானா RAT, பிரேசிலின் உடனடிப் பணப்பரிவர்த்தனைத் தளமான Pix-ஐக் குறிவைக்கும் ஒரு பிரத்யேக துணை அமைப்பைக் கொண்டுள்ளது. இயங்கும் நேரத்தில் ZXing பார்கோடு செயலாக்க நூலகத்தை ஏற்றுவதன் மூலம், இந்த மால்வேர் பாதிக்கப்பட்டவரின் திரையில் Pix QR குறியீடுகளைத் தேடுகிறது. அவை கண்டறியப்பட்டவுடன், தாக்குதல் நடத்துபவர்கள் உண்மையான பணப்பரிவர்த்தனைக் QR குறியீடுகளை, தங்கள் கட்டுப்பாட்டில் உள்ள கணக்குகளுக்கு நிதியைத் திருப்பிவிடும் மோசடியான பதிப்புகளுடன் மாற்ற முடியும். இதேபோன்ற QR குறியீடு கையாளுதல் தந்திரங்கள், Mekotio மற்றும் CHAVECLOAK போன்ற பிரேசிலிய வங்கி ட்ரோஜன்களில் முன்பே காணப்பட்டுள்ளன. இது, டெட்ராட் மால்வேர் சூழல் அமைப்பிற்குள் பனானா RAT-இன் வகைப்பாட்டை மேலும் வலுப்படுத்துகிறது.
நிலைத்தன்மையைப் பராமரிப்பதற்காக, இந்த மால்வேர் 9,999 நாட்களுக்கு ஒவ்வொரு நிமிடமும் பவர்ஷெல் பேலோடை மீண்டும் தொடங்கும் வகையில் கட்டமைக்கப்பட்ட ஒரு மறைக்கப்பட்ட விண்டோஸ் டாஸ்க் ஷெட்யூலர் பதிவை உருவாக்குகிறது. திட்டமிடப்பட்ட பணியானது மறைக்கப்பட்ட விண்டோக்கள் மற்றும் புறக்கணிக்கப்பட்ட செயலாக்கக் கொள்கைகளுடன் இயங்குவதால், கண்ணுக்குத் தெரியும் அறிவிப்புகளோ அல்லது கன்சோல் விண்டோக்களோ தோன்றுவதைத் தடுக்கிறது. மேலும், பனானா RAT, முறையான மைக்ரோசாஃப்ட் கண்டறியும் பாதைகளைப் போலவே வடிவமைக்கப்பட்ட கோப்பகங்களில் தன்னை நகலெடுத்துக் கொள்கிறது. இது நம்பகமான கணினி இருப்பிடங்களில் தன்னை மறைத்துக்கொள்ளவும், மேலோட்டமான ஆய்வுகளிலிருந்து தப்பிக்கவும் உதவுகிறது.
முதன்மை விநியோக முறைகள் மற்றும் எச்சரிக்கை அறிகுறிகள்
பனானா RAT பிரச்சாரங்கள் முதன்மையாக சமூகப் பொறியியல் மற்றும் ஏமாற்றும் கோப்பு விநியோக நுட்பங்களைச் சார்ந்துள்ளன. பொதுவான தொற்று முறைகளில் பின்வருவன அடங்கும்:
- போலி விலைப்பட்டியல் இணைப்புகள் அல்லது தீங்கிழைக்கும் பதிவிறக்க இணைப்புகளைக் கொண்ட ஃபிஷிங் மின்னஞ்சல்கள்
- மாறுவேடமிட்ட NF-e ஆவணங்களைக் கொண்ட வாட்ஸ்அப் மற்றும் அரட்டைத் தளச் செய்திகள்
- பாதுகாப்பு மீறப்பட்ட இணையதளங்கள் மற்றும் தீங்கிழைக்கும் விளம்பரங்களிலிருந்து செய்யப்படும் தானியங்கி பதிவிறக்கங்கள்.
- திருட்டு மென்பொருள், போலி மென்பொருள் புதுப்பிப்புகள் மற்றும் கிராக் செய்யப்பட்ட பயன்பாடுகள்
- BAT, ஜாவாஸ்கிரிப்ட், LNK குறுக்குவழிகள், ZIP அல்லது RAR காப்பகங்கள், அலுவலக ஆவணங்கள், EXE நிறுவிகள் மற்றும் MSI தொகுப்புகள் போன்ற தீங்கிழைக்கும் கோப்பு வடிவங்கள்
சமரசத்தின் குறிகாட்டிகள் மற்றும் தற்காப்பு நடவடிக்கைகள்
பனானா RAT என்பது பிரேசிலிய வங்கிப் பயனர்களிடமிருந்து நிகழ்நேரத்தில் பணத்தைத் திருடுவதற்காகவே பிரத்யேகமாக வடிவமைக்கப்பட்டுள்ளது. அதன் நேரடி தொலைநிலை அணுகல், நற்சான்றிதழ் திருட்டு, QR குறியீடு கையாளுதல் மற்றும் வங்கி மேலடுக்குகள் ஆகியவற்றின் கலவையானது, தாக்குதல் நடத்துபவர்கள் நிதி அமர்வுகளை முழுமையாகக் கைப்பற்றவும், அதே நேரத்தில் மோசடிப் பரிவர்த்தனைகளைப் பாதிக்கப்பட்டவர்களிடமிருந்து மறைக்கவும் அனுமதிக்கிறது.
சமரசத்திற்கான சாத்தியமான அறிகுறிகள் பின்வருமாறு:
- மறைக்கப்பட்ட பவர்ஷெல் கட்டளைகளைத் தொடங்குமாறு கட்டமைக்கப்பட்ட எதிர்பாராத திட்டமிடப்பட்ட பணிகள்
- மறைகுறியாக்கப்பட்ட சேனல்கள் வழியாக மைக்ரோசாப்ட் உள்கட்டமைப்பைப் போல் ஆள்மாறாட்டம் செய்யும் சந்தேகத்திற்கிடமான வெளிச்செல்லும் இணைப்புகள்.
- ஆன்லைன் வங்கிச் செயல்பாடுகளின் போது மவுஸ் அல்லது கீபோர்டின் வழக்கத்திற்கு மாறான செயல்பாடு
- அங்கீகரிக்கப்படாத பிக்ஸ் பரிமாற்றங்கள் அல்லது விளக்கப்படாத கிரிப்டோகரன்சி வாலட் மாற்றங்கள்
- மறைக்கப்பட்ட பவர்ஷெல் செயல்முறைகள் மற்றும் அசாதாரண வங்கிக் கணக்கு செயல்பாடு
தொற்று ஏற்பட்டதாகச் சந்தேகிக்கப்படும் எந்தவொரு கணினி அமைப்பும் உடனடியாகத் தனிமைப்படுத்தப்பட வேண்டும். சேமிக்கப்பட்ட வங்கிச் சான்றுகள், கிளிப்போர்டு உள்ளடக்கங்கள், அங்கீகார டோக்கன்கள் மற்றும் கிரிப்டோகரன்சி வாலட் தகவல்கள் ஆகியவை பாதிப்புக்குள்ளானதாகக் கருதப்பட வேண்டும், மேலும் அதனுடன் தொடர்புடைய அனைத்து கடவுச்சொற்களும் நிதி அணுகல் சான்றுகளும் தாமதமின்றி மீட்டமைக்கப்பட வேண்டும்.
