Banana RAT

బనానా RAT అనేది బ్రెజిల్‌లోని వినియోగదారులను లక్ష్యంగా చేసుకుని ప్రత్యేకంగా రూపొందించబడిన ఒక అధునాతన బ్యాంకింగ్ రిమోట్ యాక్సెస్ ట్రోజన్ (RAT). భద్రతా పరిశోధకులు ఈ దాడికి SHADOW-WATER-063 అనే ముప్పు సమూహాన్ని కారణంగా చూపుతున్నారు. ఈ సమూహం బ్రెజిల్ యొక్క కుప్రసిద్ధ టెట్రాడ్ బ్యాంకింగ్ మాల్వేర్ వ్యవస్థతో సన్నిహిత సంబంధం కలిగి ఉంది. ఈ విస్తృత వ్యవస్థలో ఇప్పటికే గ్రాండోరైరో, మెకోటియో, కాస్బనీరో, గిల్డ్మా మరియు చావెక్లాక్ వంటి సుప్రసిద్ధ మాల్వేర్ కుటుంబాలు ఉన్నాయి.

ఈ మాల్వేర్, సోకిన సిస్టమ్‌లపై దాడి చేసేవారికి విస్తృతమైన నియంత్రణను అందిస్తుంది. దీని ద్వారా వారు నిజ-సమయ స్క్రీన్ పర్యవేక్షణ, కీబోర్డ్ మరియు మౌస్ మార్పులు, కీస్ట్రోక్ లాగింగ్, క్లిప్‌బోర్డ్ అడ్డగింత, మరియు మోసపూరిత ఆర్థిక కార్యకలాపాలను దాచిపెట్టడానికి రూపొందించిన నకిలీ బ్యాంకింగ్ లేదా విండోస్ అప్‌డేట్ స్క్రీన్‌లను ఏర్పాటు చేయడం వంటివి చేయగలరు. బనానా RAT ప్రధానంగా ఆన్‌లైన్ బ్యాంకింగ్ సెషన్‌లను దెబ్బతీయడం మరియు బాధితుడు గమనించకుండా ఆర్థిక లావాదేవీలను దారి మళ్లించడంపై దృష్టి పెడుతుంది.

సంక్రమణ గొలుసు మరియు తప్పించుకునే వ్యూహాలు

Consultar_NF-e.bat అనే హానికరమైన బ్యాచ్ ఫైల్‌ను అమలు చేసేలా బాధితులను సాధారణంగా మోసగిస్తారు. ఈ ఫైల్, బ్రెజిల్‌లోని వ్యాపార సంస్థలు విస్తృతంగా గుర్తించే NF-e (Nota Fiscal Eletrônica) అనే చట్టబద్ధమైన బ్రెజిలియన్ ఎలక్ట్రానిక్ ఇన్‌వాయిస్ రూపంలో మారువేషంలో ఉంటుంది. దీని పంపిణీ సాధారణంగా వాట్సాప్ సందేశాలు, ఫిషింగ్ ప్రచారాలు లేదా దాడి చేసేవారి నియంత్రణలో ఉన్న డొమైన్‌లలోని హానికరమైన లింక్‌ల ద్వారా జరుగుతుంది.

బనానా RAT, పెద్ద సంఖ్యలో పాలిమార్ఫిక్ పేలోడ్‌లపై ఆధారపడే మాల్‌వేర్-యాజ్-ఎ-సర్వీస్ నమూనాను ఉపయోగించి పనిచేస్తుంది. ఒకే రకమైన మాల్‌వేర్ నమూనాలను అందించడానికి బదులుగా, దాడి చేసేవారు 100 నుండి 200 వరకు ముందుగా రూపొందించిన వేరియంట్‌లను నిర్వహిస్తారు. హ్యాష్-ఆధారిత గుర్తింపు పద్ధతులను తప్పించుకోవడానికి, వీటిలో ప్రతి ఒక్కటీ ప్రత్యేకంగా స్క్రాంబుల్ చేయబడి ఉంటుంది. ప్రతి పేలోడ్ తొమ్మిది పొరల అస్పష్టత (obfuscation) ద్వారా రక్షించబడి, AES-256 ఉపయోగించి ఎన్‌క్రిప్ట్ చేయబడుతుంది.

హానికరమైన బ్యాచ్ ఫైల్ ప్రారంభించబడిన తర్వాత, ఒక తేలికపాటి పవర్‌షెల్ స్టేజర్ దాడి చేసేవారి ఇన్‌ఫ్రాస్ట్రక్చర్ నుండి ఎన్‌క్రిప్ట్ చేయబడిన రెండవ-దశ పేలోడ్‌ను డౌన్‌లోడ్ చేస్తుంది. ఈ పేలోడ్ నేరుగా మెమరీలోనే డీక్రిప్ట్ చేయబడి, డిస్క్‌పై చదవగలిగే కోడ్‌ను రాయకుండానే అమలు చేయబడుతుంది. దీనివల్ల, సాంప్రదాయ యాంటీవైరస్ సొల్యూషన్‌లు ఈ మాల్‌వేర్‌ను గుర్తించడం గణనీయంగా కష్టతరం అవుతుంది. కమ్యూనికేషన్‌లను మరింతగా దాచడానికి, ఈ మాల్‌వేర్ చట్టబద్ధమైన మైక్రోసాఫ్ట్ CDN ఇన్‌ఫ్రాస్ట్రక్చర్‌ను అనుకరించే టైపోస్క్వాటెడ్ డొమైన్‌ల ద్వారా TCP పోర్ట్ 443 పై తన కమాండ్-అండ్-కంట్రోల్ (C2) కనెక్షన్‌ను ఏర్పాటు చేసుకుంటుంది. ట్రాఫిక్ AES-256-CBCతో ఎన్‌క్రిప్ట్ చేయబడి, ఇన్ఫెక్ట్ అయిన మెషీన్ యొక్క GUID మరియు MAC అడ్రస్‌కు లింక్ చేయబడిన HMAC టోకెన్‌లను ఉపయోగించి ప్రామాణీకరించబడుతుంది. దీనివల్ల, అధీకృత ఆపరేటర్లు మాత్రమే ఈ రాజీపడిన పరికరంతో ఇంటరాక్ట్ అవ్వగలరని నిర్ధారించబడుతుంది.

పూర్తి రిమోట్ కంట్రోల్ మరియు బ్యాంకింగ్ మానిప్యులేషన్

అమలు చేసిన తర్వాత, బనానా RAT ఆపరేటర్లకు సోకిన సిస్టమ్‌పై ప్రత్యక్ష మరియు ఇంటరాక్టివ్ నియంత్రణను అందిస్తుంది. దాడి చేసేవారు డెస్క్‌టాప్‌ను నిజ సమయంలో బహుళ మానిటర్‌లలో ప్రసారం చేయగలరు, కీబోర్డ్ మరియు మౌస్ ఇన్‌పుట్‌ను అనుకరించగలరు, మరియు నేపథ్యంలో అనధికారిక బ్యాంకింగ్ లావాదేవీలు జరుగుతున్నప్పుడు బాధితుడి స్వంత ఇన్‌పుట్ పరికరాలను తాత్కాలికంగా నిలిపివేయగలరు.

ఈ మాల్వేర్ యొక్క నిఘా సామర్థ్యాలు రిమోట్ కంట్రోల్‌కు మించి విస్తరించి ఉన్నాయి. దీనిలో అంతర్నిర్మితంగా ఉన్న కీలాగర్, కీస్ట్రోక్‌లను నిరంతరం ఒక రింగ్ బఫర్‌లో రికార్డ్ చేస్తుంది, దీనిని ఆపరేటర్లు అవసరమైనప్పుడు తిరిగి పొందవచ్చు. క్లిప్‌బోర్డ్ పర్యవేక్షణ కూడా అమలు చేయబడింది, ఇది దాడి చేసేవారికి కాపీ చేసిన కంటెంట్‌ను, క్రిప్టోకరెన్సీ వాలెట్ చిరునామాలతో సహా, తమ నియంత్రణలో ఉన్న ప్రత్యామ్నాయాలతో నిశ్శబ్దంగా మార్చడానికి వీలు కల్పిస్తుంది.

బనానా RAT యొక్క ఒక ప్రధాన ప్రత్యేక లక్షణం దాని బ్యాంకింగ్-కేంద్రీకృత ఓవర్‌లే సిస్టమ్. ఈ మాల్వేర్ యాక్టివ్ బ్రౌజర్ విండో టైటిల్స్‌ను పర్యవేక్షిస్తుంది మరియు వాటిని బ్రెజిల్‌లో పనిచేస్తున్న క్రిప్టోకరెన్సీ ఎక్స్ఛేంజ్ ప్లాట్‌ఫారమ్‌లతో పాటు, ఇటావు యూనిబ్యాంకో, బ్రాడెస్కో, శాంటాండర్ బ్రెజిల్, కైక్సా ఎకనామికా ఫెడరల్, మరియు బాంకో డో బ్రెజిల్ వంటి 16 బ్రెజిలియన్ ఆర్థిక సంస్థల హార్డ్‌కోడెడ్ జాబితాతో పోలుస్తుంది. సరిపోలికను గుర్తించినప్పుడు, దాడి చేసేవారు నిజమైన బ్యాంకింగ్ పోర్టల్స్ లేదా విండోస్ అప్‌డేట్ నోటిఫికేషన్‌లను అనుకరించే నమ్మశక్యమైన ఫుల్-స్క్రీన్ ఓవర్‌లేలను ప్రదర్శించగలరు, తద్వారా తెర వెనుక జరుగుతున్న మోసపూరిత చర్యలను దాచిపెడతారు.

పిక్స్ క్యూఆర్ కోడ్ హైజాకింగ్ మరియు దీర్ఘకాలిక నిలకడ

బనానా ర్యాట్, బ్రెజిల్ యొక్క తక్షణ చెల్లింపు ప్లాట్‌ఫారమ్ అయిన పిక్స్‌ను లక్ష్యంగా చేసుకునే ఒక ప్రత్యేక ఉపవ్యవస్థను కలిగి ఉంది. రన్‌టైమ్‌లో ZXing బార్‌కోడ్ ప్రాసెసింగ్ లైబ్రరీని లోడ్ చేయడం ద్వారా, ఈ మాల్వేర్ బాధితుడి స్క్రీన్‌పై పిక్స్ క్యూఆర్ కోడ్‌ల కోసం స్కాన్ చేస్తుంది. వాటిని గుర్తించిన తర్వాత, దాడి చేసేవారు అసలైన చెల్లింపు క్యూఆర్ కోడ్‌లను మోసపూరితమైన వాటితో భర్తీ చేయగలరు. ఇవి నిధులను వారి నియంత్రణలో ఉన్న ఖాతాలకు మళ్లిస్తాయి. ఇలాంటి క్యూఆర్ కోడ్ తారుమారు చేసే వ్యూహాలు గతంలో మెకోటియో మరియు చావెక్లాక్ వంటి బ్రెజిలియన్ బ్యాంకింగ్ ట్రోజన్‌లలో గమనించబడ్డాయి. ఇది బనానా ర్యాట్‌ను టెట్రాడ్ మాల్వేర్ ఎకోసిస్టమ్‌లో భాగంగా వర్గీకరించడాన్ని బలపరుస్తుంది.

తన ఉనికిని కొనసాగించడానికి, ఈ మాల్వేర్ 9,999 రోజుల పాటు ప్రతి నిమిషం పవర్‌షెల్ పేలోడ్‌ను పునఃప్రారంభించేలా కాన్ఫిగర్ చేయబడిన ఒక రహస్య విండోస్ టాస్క్ షెడ్యూలర్ ఎంట్రీని సృష్టిస్తుంది. ఈ షెడ్యూల్ చేయబడిన టాస్క్ రహస్య విండోలతో మరియు బైపాస్ చేయబడిన ఎగ్జిక్యూషన్ పాలసీలతో అమలు అవుతుంది, దీనివల్ల కనిపించే ప్రాంప్ట్‌లు లేదా కన్సోల్ విండోలు కనిపించకుండా నిరోధించబడతాయి. బనానా RAT, చట్టబద్ధమైన మైక్రోసాఫ్ట్ డయాగ్నస్టిక్ పాత్‌లను పోలి ఉండేలా రూపొందించిన డైరెక్టరీలలోకి కూడా తనను తాను కాపీ చేసుకుంటుంది. ఇది విశ్వసనీయమైన సిస్టమ్ లొకేషన్‌లలో కలిసిపోయి, సాధారణ తనిఖీని తప్పించుకోవడానికి సహాయపడుతుంది.

ప్రాథమిక డెలివరీ పద్ధతులు మరియు హెచ్చరిక సంకేతాలు

బనానా RAT ప్రచారాలు ప్రధానంగా సోషల్ ఇంజనీరింగ్ మరియు మోసపూరిత ఫైల్ డెలివరీ పద్ధతులపై ఆధారపడతాయి. సాధారణ ఇన్ఫెక్షన్ పద్ధతులలో ఇవి ఉన్నాయి:

• నకిలీ ఇన్‌వాయిస్ అటాచ్‌మెంట్‌లు లేదా హానికరమైన డౌన్‌లోడ్ లింక్‌లను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌లు
• మారువేషంలో ఉన్న NF-e పత్రాలను కలిగి ఉన్న వాట్సాప్ మరియు చాట్-ప్లాట్‌ఫారమ్ సందేశాలు
• రాజీపడిన వెబ్‌సైట్‌ల నుండి డ్రైవ్-బై డౌన్‌లోడ్‌లు మరియు హానికరమైన ప్రకటనలు
• పైరేటెడ్ సాఫ్ట్‌వేర్, నకిలీ సాఫ్ట్‌వేర్ అప్‌డేట్‌లు మరియు క్రాక్డ్ అప్లికేషన్‌లు
• BAT, జావాస్క్రిప్ట్, LNK షార్ట్‌కట్‌లు, ZIP లేదా RAR ఆర్కైవ్‌లు, ఆఫీస్ డాక్యుమెంట్‌లు, EXE ఇన్‌స్టాలర్‌లు మరియు MSI ప్యాకేజీల వంటి హానికరమైన ఫైల్ ఫార్మాట్‌లు

రాజీ సూచికలు మరియు రక్షణాత్మక చర్యలు

బ్రెజిలియన్ బ్యాంకింగ్ వినియోగదారుల నుండి నిజ సమయంలో డబ్బును దొంగిలించడానికి బనానా RAT ప్రత్యేకంగా రూపొందించబడింది. లైవ్ రిమోట్ యాక్సెస్, క్రెడెన్షియల్ దొంగతనం, క్యూఆర్ కోడ్ మానిప్యులేషన్ మరియు బ్యాంకింగ్ ఓవర్‌లేల కలయికతో, దాడి చేసేవారు బాధితుల నుండి మోసపూరిత లావాదేవీలను దాచిపెడుతూ, ఆర్థిక సెషన్‌లను పూర్తిగా హైజాక్ చేయగలుగుతారు.

రాజీకి సంభావ్య సూచికలు:

• దాచిన పవర్‌షెల్ ఆదేశాలను ప్రారంభించడానికి కాన్ఫిగర్ చేయబడిన ఊహించని షెడ్యూల్డ్ టాస్క్‌లు
• మైక్రోసాఫ్ట్ మౌలిక సదుపాయాలను అనుకరిస్తూ ఎన్‌క్రిప్టెడ్ ఛానెల్‌ల ద్వారా అనుమానాస్పద అవుట్‌బౌండ్ కనెక్షన్‌లు
• ఆన్‌లైన్ బ్యాంకింగ్ సెషన్‌ల సమయంలో మౌస్ లేదా కీబోర్డ్ అసాధారణంగా ప్రవర్తించడం
• అనధికారిక పిక్స్ బదిలీలు లేదా వివరించలేని క్రిప్టోకరెన్సీ వాలెట్ మార్పులు
• దాచిన పవర్‌షెల్ ప్రక్రియలు మరియు అసాధారణ బ్యాంకింగ్ ఖాతా కార్యకలాపాలు

ఇన్‌ఫెక్షన్ సోకినట్లు అనుమానం ఉన్న ఏ సిస్టమ్‌నైనా వెంటనే వేరుచేయాలి. సేవ్ చేసిన బ్యాంకింగ్ ఆధారాలు, క్లిప్‌బోర్డ్ కంటెంట్‌లు, ప్రమాణీకరణ టోకెన్‌లు మరియు క్రిప్టోకరెన్సీ వాలెట్ సమాచారాన్ని రాజీపడినట్లుగా పరిగణించాలి, మరియు సంబంధిత పాస్‌వర్డ్‌లు మరియు ఆర్థిక యాక్సెస్ ఆధారాలన్నింటినీ ఆలస్యం చేయకుండా రీసెట్ చేయాలి.