ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ Banana RAT

Banana RAT

โดย Mezo ใน มัลแวร์, เครื่องมือการบริหารจัดการระยะไกล
แปลเป็น:

Banana RAT เป็นมัลแวร์ประเภท Remote Access Trojan (RAT) ที่มีความซับซ้อน ออกแบบมาโดยเฉพาะเพื่อโจมตีผู้ใช้ในประเทศบราซิล นักวิจัยด้านความปลอดภัยระบุว่ากลุ่มภัยคุกคาม SHADOW-WATER-063 เป็นผู้ก่อเหตุ ซึ่งกลุ่มนี้มีความเกี่ยวข้องอย่างใกล้ชิดกับระบบนิเวศมัลแวร์ Tetrade ที่มีชื่อเสียงในทางไม่ดีของบราซิล ระบบนิเวศที่กว้างขึ้นนี้ประกอบไปด้วยตระกูลมัลแวร์ที่เป็นที่รู้จักกันดีอยู่แล้ว เช่น Grandoreiro, Mekotio, Casbaneiro, Guildma และ CHAVECLOAK

มัลแวร์นี้ทำให้ผู้โจมตีสามารถควบคุมระบบที่ติดเชื้อได้อย่างกว้างขวาง โดยสามารถตรวจสอบหน้าจอแบบเรียลไทม์ ควบคุมแป้นพิมพ์และเมาส์ บันทึกการกดแป้นพิมพ์ ดักจับข้อมูลที่คัดลอก และแสดงหน้าจอปลอมของการทำธุรกรรมทางการเงินหรือการอัปเดต Windows เพื่อปกปิดกิจกรรมทางการเงินที่ฉ้อโกง Banana RAT มุ่งเน้นอย่างมากในการโจมตีการทำธุรกรรมทางการเงินออนไลน์และเปลี่ยนเส้นทางการทำธุรกรรมทางการเงินโดยที่เหยื่อไม่รู้ตัว

ห่วงโซ่การติดเชื้อและกลยุทธ์การหลบเลี่ยง

เหยื่อมักถูกหลอกให้เรียกใช้ไฟล์แบตช์ที่เป็นอันตรายชื่อ Consultar_NF-e.bat ไฟล์นี้ปลอมแปลงเป็นใบแจ้งหนี้อิเล็กทรอนิกส์ของบราซิลที่ถูกต้องตามกฎหมาย ซึ่งรู้จักกันในชื่อ NF-e (Nota Fiscal Eletrônica) ซึ่งเป็นรูปแบบที่ธุรกิจต่างๆ ทั่วประเทศบราซิลรู้จักกันอย่างแพร่หลาย การแพร่กระจายมักเกิดขึ้นผ่านข้อความ WhatsApp แคมเปญฟิชชิ่ง หรือลิงก์ที่เป็นอันตรายซึ่งโฮสต์อยู่บนโดเมนที่ผู้โจมตีควบคุม

Banana RAT ทำงานโดยใช้โมเดล Malware-as-a-Service ซึ่งอาศัยกลุ่มเพย์โหลดแบบโพลีมอร์ฟิกจำนวนมาก แทนที่จะส่งตัวอย่างมัลแวร์ที่เหมือนกันทุกประการ ผู้โจมตีจะเก็บรักษาตัวแปรที่สร้างไว้ล่วงหน้าประมาณ 100 ถึง 200 ตัว โดยแต่ละตัวจะถูกเข้ารหัสอย่างเป็นเอกลักษณ์เพื่อหลีกเลี่ยงวิธีการตรวจจับแบบใช้แฮช เพย์โหลดทุกตัวได้รับการปกป้องด้วยการปกปิดข้อมูลถึงเก้าชั้นและเข้ารหัสโดยใช้ AES-256

เมื่อไฟล์แบตช์ที่เป็นอันตรายถูกเรียกใช้งาน โปรแกรม PowerShell ขนาดเล็กจะดาวน์โหลดเพย์โหลดขั้นที่สองที่เข้ารหัสจากโครงสร้างพื้นฐานของผู้โจมตี เพย์โหลดจะถูกถอดรหัสโดยตรงในหน่วยความจำและดำเนินการโดยไม่ต้องเขียนโค้ดที่อ่านได้ลงดิสก์ ทำให้มัลแวร์ตรวจจับได้ยากขึ้นอย่างมากสำหรับโซลูชันป้องกันไวรัสแบบดั้งเดิม เพื่อปกปิดการสื่อสารเพิ่มเติม มัลแวร์จะสร้างการเชื่อมต่อคำสั่งและควบคุม (C2) ผ่านพอร์ต TCP 443 ผ่านโดเมนที่เลียนแบบโครงสร้างพื้นฐาน Microsoft CDN ที่ถูกต้อง การรับส่งข้อมูลจะถูกเข้ารหัสด้วย AES-256-CBC และตรวจสอบสิทธิ์โดยใช้โทเค็น HMAC ที่เชื่อมโยงกับ GUID และที่อยู่ MAC ของเครื่องที่ติดเชื้อ ทำให้มั่นใจได้ว่าเฉพาะผู้ปฏิบัติงานที่ได้รับอนุญาตเท่านั้นที่สามารถโต้ตอบกับอุปกรณ์ที่ถูกบุกรุกได้

การควบคุมระยะไกลและการจัดการธุรกรรมธนาคารอย่างเต็มรูปแบบ

หลังจากติดตั้งแล้ว Banana RAT จะมอบอำนาจการควบคุมโดยตรงและโต้ตอบได้ให้กับผู้โจมตีเหนือระบบที่ติดไวรัส ผู้โจมตีสามารถสตรีมเดสก์ท็อปไปยังจอภาพหลายจอแบบเรียลไทม์ จำลองการป้อนข้อมูลจากแป้นพิมพ์และเมาส์ และแม้กระทั่งปิดการใช้งานอุปกรณ์ป้อนข้อมูลของเหยื่อชั่วคราวในขณะที่ทำธุรกรรมทางการเงินที่ไม่ได้รับอนุญาตในเบื้องหลัง

ความสามารถในการสอดแนมของมัลแวร์นี้ไม่ได้จำกัดอยู่แค่การควบคุมระยะไกลเท่านั้น โปรแกรมดักจับการกดแป้นพิมพ์ (keylogger) ในตัวจะบันทึกการกดแป้นพิมพ์อย่างต่อเนื่องลงในบัฟเฟอร์แบบวงแหวน ซึ่งผู้ใช้งานสามารถเรียกดูได้ตามต้องการ นอกจากนี้ยังมีการตรวจสอบการคัดลอก (clipboard monitoring) ซึ่งช่วยให้ผู้โจมตีสามารถแทนที่เนื้อหาที่คัดลอกมาโดยไม่ให้ผู้โจมตีรู้ตัว รวมถึงที่อยู่กระเป๋าเงินคริปโตเคอร์เรนซี ด้วยเนื้อหาอื่นที่ผู้โจมตีควบคุมได้

คุณลักษณะเด่นที่สำคัญของ Banana RAT คือระบบโอเวอร์เลย์ที่เน้นด้านการธนาคาร มัลแวร์นี้จะตรวจสอบชื่อหน้าต่างเบราว์เซอร์ที่ใช้งานอยู่และเปรียบเทียบกับรายชื่อสถาบันการเงินของบราซิล 16 แห่งที่กำหนดไว้ล่วงหน้า ซึ่งรวมถึง Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal และ Banco do Brasil รวมถึงแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัลที่ดำเนินการในบราซิล เมื่อตรวจพบการจับคู่ ผู้โจมตีสามารถแสดงโอเวอร์เลย์แบบเต็มหน้าจอที่เลียนแบบพอร์ทัลธนาคารที่ถูกต้องหรือการแจ้งเตือนการอัปเดต Windows ได้อย่างแนบเนียน เพื่อปกปิดการกระทำที่ฉ้อโกงที่เกิดขึ้นเบื้องหลัง

การโจรกรรมและการคงอยู่ระยะยาวของรหัส QR ของ Pix

Banana RAT มีระบบย่อยเฉพาะที่มุ่งเป้าไปที่ Pix ซึ่งเป็นแพลตฟอร์มการชำระเงินทันทีของบราซิล โดยการโหลดไลบรารีประมวลผลบาร์โค้ด ZXing ในระหว่างการทำงาน มัลแวร์จะสแกนหน้าจอของเหยื่อเพื่อหาคิวอาร์โค้ดของ Pix เมื่อตรวจพบแล้ว ผู้โจมตีสามารถแทนที่คิวอาร์โค้ดการชำระเงินที่ถูกต้องด้วยเวอร์ชันปลอมที่โอนเงินไปยังบัญชีที่อยู่ภายใต้การควบคุมของพวกเขา กลยุทธ์การจัดการคิวอาร์โค้ดที่คล้ายกันนี้เคยพบในโทรจันธนาคารของบราซิล เช่น Mekotio และ CHAVECLOAK มาก่อน ซึ่งเป็นการยืนยันว่า Banana RAT จัดอยู่ในระบบนิเวศมัลแวร์ Tetrade

เพื่อให้สามารถทำงานได้อย่างต่อเนื่อง มัลแวร์จะสร้างรายการใน Windows Task Scheduler ที่ซ่อนไว้ ซึ่งตั้งค่าให้เรียกใช้โค้ด PowerShell อีกครั้งทุกนาทีเป็นเวลา 9,999 วัน งานที่กำหนดไว้จะทำงานด้วยหน้าต่างที่ซ่อนไว้และข้ามขั้นตอนการดำเนินการ ทำให้ไม่ปรากฏข้อความแจ้งเตือนหรือหน้าต่างคอนโซลที่มองเห็นได้ นอกจากนี้ Banana RAT ยังคัดลอกตัวเองเข้าไปในไดเร็กทอรีที่ออกแบบมาให้คล้ายกับเส้นทางการวินิจฉัยของ Microsoft ที่ถูกต้อง ช่วยให้มันกลมกลืนไปกับตำแหน่งระบบที่เชื่อถือได้และหลบเลี่ยงการตรวจสอบโดยไม่ได้ตั้งใจ

วิธีการส่งมอบหลักและสัญญาณเตือน

แคมเปญ Banana RAT ส่วนใหญ่ใช้กลวิธีทางสังคมและการส่งไฟล์หลอกลวง วิธีการติดเชื้อที่พบบ่อย ได้แก่:

  • อีเมลฟิชชิ่งที่มีไฟล์แนบเป็นใบแจ้งหนี้ปลอมหรือลิงก์ดาวน์โหลดที่เป็นอันตราย
  • ข้อความ WhatsApp และข้อความในแพลตฟอร์มแชทที่มีเอกสาร NF-e ปลอมแปลง
  • การดาวน์โหลดโดยไม่ได้รับอนุญาตจากเว็บไซต์ที่ถูกบุกรุกและโฆษณาที่เป็นอันตราย
  • ซอฟต์แวร์ละเมิดลิขสิทธิ์ การอัปเดตซอฟต์แวร์ปลอม และแอปพลิเคชันที่ถูกแคร็ก
  • รูปแบบไฟล์ที่เป็นอันตราย เช่น ไฟล์ BAT, JavaScript, ไฟล์ทางลัด LNK, ไฟล์ ZIP หรือ RAR, เอกสาร Office, โปรแกรมติดตั้ง EXE และแพ็กเกจ MSI

ตัวบ่งชี้การประนีประนอมและมาตรการป้องกัน

Banana RAT ถูกออกแบบมาโดยเฉพาะเพื่อขโมยเงินจากผู้ใช้บริการธนาคารในบราซิลแบบเรียลไทม์ การผสมผสานระหว่างการเข้าถึงระยะไกลแบบเรียลไทม์ การขโมยข้อมูลประจำตัว การดัดแปลงรหัส QR และการซ้อนทับเว็บไซต์ธนาคาร ทำให้ผู้โจมตีสามารถควบคุมการทำธุรกรรมทางการเงินได้อย่างสมบูรณ์ ในขณะที่ปกปิดธุรกรรมที่ฉ้อโกงจากเหยื่อ

ตัวบ่งชี้ที่อาจแสดงถึงการรั่วไหลของข้อมูล ได้แก่:

  • งานที่กำหนดไว้ล่วงหน้าซึ่งไม่ได้คาดหมาย ถูกตั้งค่าให้เรียกใช้คำสั่ง PowerShell ที่ซ่อนอยู่
  • การเชื่อมต่อขาออกที่น่าสงสัยผ่านช่องทางการเข้ารหัสที่แอบอ้างเป็นโครงสร้างพื้นฐานของ Microsoft
  • พบพฤติกรรมผิดปกติของเมาส์หรือคีย์บอร์ดระหว่างการทำธุรกรรมธนาคารออนไลน์
  • การโอนเงิน Pix โดยไม่ได้รับอนุญาต หรือการเปลี่ยนแปลงกระเป๋าเงินคริปโตเคอร์เรนซีที่ไม่สามารถอธิบายได้
  • กระบวนการ PowerShell ที่ซ่อนอยู่ และกิจกรรมบัญชีธนาคารที่ผิดปกติ

ระบบใดก็ตามที่ต้องสงสัยว่าติดไวรัสควรถูกแยกออกทันที ข้อมูลที่บันทึกไว้ เช่น ข้อมูลประจำตัวธนาคาร เนื้อหาในคลิปบอร์ด โทเค็นการตรวจสอบสิทธิ์ และข้อมูลกระเป๋าเงินดิจิทัล ควรได้รับการพิจารณาว่าถูกบุกรุก และควรทำการรีเซ็ตรหัสผ่านและข้อมูลประจำตัวการเข้าถึงทางการเงินที่เกี่ยวข้องทั้งหมดโดยไม่ชักช้า

มาแรง

การอัปเดตความปลอดภัยเพื่อตรวจจับอุปกรณ์และสถานที่ที่...

ฟิชชิ่ง, สแปม
อีเมลที่ไม่คาดคิดซึ่งเรียกร้องให้ดำเนินการอย่างเร่งด่วนควรได้รับการพิจารณาอย่างรอบคอบเสมอ โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับคำเตือนด้านความปลอดภัยของบัญชีหรือคำขอให้ยืนยันข้อมูลส่วนบุคคล อาชญากรไซเบอร์มักปลอมแปลงข้อความฟิชชิ่งเป็นข้อความแจ้งเตือนอย่างเป็นทางการเพื่อหลอกล่อให้ผู้รับเปิดเผยข้อมูลที่ละเอียดอ่อน อีเมล 'การอัปเดตความปลอดภัยเพื่อตรวจสอบอุปกรณ์และสถานที่ที่เชื่อถือได้'...

การหลอกลวงการแจกเหรียญฟรี Avantis (AVNT)

เว็บไซต์อันธพาล
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุเว็บไซต์ claim.avantishub.org ว่าเป็นเว็บไซต์หลอกลวงเกี่ยวกับสกุลเงินดิจิทัล ที่โปรโมตแคมเปญ "$AVNT Token Airdrop 2" ปลอม...

Aibrowseruodate.com

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
การใช้ความระมัดระวังขณะท่องอินเทอร์เน็ตมีความสำคัญมากกว่าที่เคยเป็นมา อาชญากรไซเบอร์และผู้โฆษณาหลอกลวงสร้างเว็บไซต์ปลอมขึ้นมาอย่างต่อเนื่องเพื่อหลอกล่อผู้เข้าชมให้กระทำการที่เป็นอันตราย...

เข้าชมมากที่สุด

เอพอนเนอร์ดอทคอม

ปัญหา
21,310
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
20,599
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...