Banana RAT

Ang Banana RAT ay isang sopistikadong Remote Access Trojan (RAT) sa pagbabangko na partikular na ginawa upang i-target ang mga gumagamit sa Brazil. Iniuugnay ng mga mananaliksik sa seguridad ang kampanya sa threat group na SHADOW-WATER-063, na malapit na nauugnay sa kilalang-kilalang ecosystem ng malware sa pagbabangko ng Tetrade sa Brazil. Kasama na sa mas malawak na ecosystem na ito ang mga kilalang pamilya ng malware tulad ng Grandoreiro, Mekotio, Casbaneiro, Guildma, at CHAVECLOAK.

Ang malware ay nagbibigay sa mga umaatake ng malawak na kontrol sa mga nahawaang sistema, na nagbibigay-daan sa real-time na pagsubaybay sa screen, pagmamanipula ng keyboard at mouse, pag-log ng keystroke, pagharang sa clipboard, at ang pag-deploy ng mga pekeng screen ng pagbabangko o Windows Update na idinisenyo upang itago ang mga mapanlinlang na aktibidad sa pananalapi. Ang Banana RAT ay lubos na nakatuon sa pagkompromiso sa mga sesyon ng online banking at pag-redirect ng mga transaksyong pinansyal nang hindi napapansin ng biktima.

Mga Taktika sa Pagkakabit ng Impeksyon at Pag-iwas

Karaniwang nililinlang ang mga biktima na magpatakbo ng isang malisyosong batch file na pinangalanang Consultar_NF-e.bat. Ang file ay nakabalatkayo bilang isang lehitimong Brazilian electronic invoice na kilala bilang NF-e (Nota Fiscal Eletrônica), isang format na malawakang kinikilala ng mga negosyo sa buong Brazil. Karaniwang nangyayari ang pamamahagi sa pamamagitan ng mga mensahe sa WhatsApp, mga kampanya sa phishing, o mga malisyosong link na naka-host sa mga domain na kontrolado ng attacker.

Ang Banana RAT ay gumagamit ng isang Malware-as-a-Service model na umaasa sa malalaking pool ng polymorphic payloads. Sa halip na maghatid ng magkakaparehong malware samples, pinapanatili ng mga attackers ang nasa pagitan ng 100 at 200 pre-generated variants, bawat isa ay natatanging pinaghalo upang maiwasan ang mga hash-based detection methods. Ang bawat payload ay protektado ng siyam na layer ng obfuscation at naka-encrypt gamit ang AES-256.

Kapag nailunsad na ang malisyosong batch file, dina-download ng isang magaan na PowerShell stager ang naka-encrypt na second-stage payload mula sa imprastraktura ng attacker. Ang payload ay direktang ide-decrypt sa memory at isinasagawa nang hindi isinusulat ang nababasang code sa disk, na ginagawang mas mahirap matukoy ang malware para sa mga tradisyonal na solusyon sa antivirus. Upang higit pang maitago ang mga komunikasyon, itinatatag ng malware ang koneksyon nito sa Command-and-Control (C2) sa pamamagitan ng TCP port 443 sa pamamagitan ng mga typosquatted domain na ginagaya ang lehitimong imprastraktura ng Microsoft CDN. Ang trapiko ay naka-encrypt gamit ang AES-256-CBC at ina-authenticate gamit ang mga HMAC token na naka-link sa GUID at MAC address ng nahawaang makina, na tinitiyak na tanging ang mga awtorisadong operator lamang ang maaaring makipag-ugnayan sa nakompromisong device.

Ganap na Remote Control at Manipulasyon sa Pagbabangko

Pagkatapos ng pagpapatupad, binibigyan ng Banana RAT ang mga operator ng direkta at interactive na kontrol sa nahawaang sistema. Maaaring i-stream ng mga umaatake ang desktop sa maraming monitor nang real time, gayahin ang input ng keyboard at mouse, at pansamantalang i-disable ang sariling mga input device ng biktima habang ang mga hindi awtorisadong transaksyon sa pagbabangko ay isinasagawa sa background.

Ang kakayahan ng malware sa pagsubaybay ay higit pa sa remote control. Patuloy na nire-record ng isang integrated keylogger ang mga keystroke sa isang ring buffer na maaaring makuha ng mga operator kapag hiniling. Ipinapatupad din ang clipboard monitoring, na nagpapahintulot sa mga attacker na tahimik na palitan ang kinopyang nilalaman, kabilang ang mga address ng cryptocurrency wallet, ng mga alternatibong kontrolado ng threat actor.

Isang pangunahing katangian ng Banana RAT ay ang sistemang overlay nito na nakatuon sa pagbabangko. Sinusubaybayan ng malware ang mga aktibong pamagat ng window ng browser at inihahambing ang mga ito sa isang naka-hardcode na listahan ng 16 na institusyong pinansyal ng Brazil, kabilang ang Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal, at Banco do Brasil, kasama ang mga platform ng palitan ng cryptocurrency na tumatakbo sa Brazil. Kapag natukoy ang isang tugma, maaaring maglagay ang mga umaatake ng mga nakakakumbinsing full-screen na overlay na ginagaya ang mga lehitimong portal ng pagbabangko o mga abiso sa Windows Update, na nagtatakip sa mga mapanlinlang na aksyon na nagaganap sa likod ng mga eksena.

Pag-hijack ng Pix QR Code at Pangmatagalang Pagtitiyaga

Kasama sa Banana RAT ang isang nakalaang subsystem na nagta-target sa Pix, ang instant payment platform ng Brazil. Sa pamamagitan ng paglo-load ng ZXing barcode processing library habang tumatakbo, ini-scan ng malware ang screen ng biktima para sa mga Pix QR code. Kapag natukoy na, maaaring palitan ng mga attacker ang mga lehitimong payment QR code ng mga mapanlinlang na bersyon na nagre-redirect ng mga pondo sa mga account na nasa ilalim ng kanilang kontrol. Ang mga katulad na taktika sa pagmamanipula ng QR code ay naobserbahan na noon sa mga trojan ng pagbabangko sa Brazil tulad ng Mekotio at CHAVECLOAK, na nagpapatibay sa klasipikasyon ng Banana RAT sa loob ng ecosystem ng malware ng Tetrade.

Para mapanatili ang katatagan, lumilikha ang malware ng isang nakatagong entry sa Windows Task Scheduler na na-configure upang muling ilunsad ang PowerShell payload bawat minuto sa loob ng 9,999 na araw. Ang naka-iskedyul na gawain ay isinasagawa gamit ang mga nakatagong window at mga nilagdaang patakaran sa pagpapatupad, na pumipigil sa paglitaw ng mga nakikitang prompt o console window. Kinokopya rin ng Banana RAT ang sarili nito sa mga direktoryo na idinisenyo upang maging katulad ng mga lehitimong diagnostic path ng Microsoft, na tumutulong dito na pagsamahin sa mga pinagkakatiwalaang lokasyon ng system at maiwasan ang kaswal na inspeksyon.

Mga Pangunahing Paraan ng Paghahatid at Mga Babalang Karatula

Ang mga kampanya ng Banana RAT ay pangunahing umaasa sa social engineering at mapanlinlang na mga pamamaraan sa paghahatid ng file. Kabilang sa mga karaniwang paraan ng pag-infect ang:

• Mga email na phishing na naglalaman ng mga pekeng attachment ng invoice o mga malisyosong download link
• Mga mensahe sa WhatsApp at chat-platform na naglalaman ng mga nakatagong dokumentong NF-e
• Mga drive-by download mula sa mga nakompromisong website at mga malisyosong advertisement
• Pirated na software, mga pekeng update ng software, at mga cracked na application
• Mga nakakahamak na format ng file tulad ng BAT, JavaScript, mga shortcut ng LNK, mga archive ng ZIP o RAR, mga dokumento ng Office, mga installer ng EXE, at mga pakete ng MSI

Mga Indikasyon ng Kompromiso at Mga Hakbang na Depensiba

Ang Banana RAT ay partikular na ginawa upang magnakaw ng pera mula sa mga gumagamit ng pagbabangko sa Brazil nang real time. Ang kombinasyon nito ng live remote access, pagnanakaw ng kredensyal, manipulasyon ng QR code, at mga overlay ng pagbabangko ay nagbibigay-daan sa mga umaatake na ganap na i-hijack ang mga sesyon ng pananalapi habang itinatago ang mga mapanlinlang na transaksyon mula sa mga biktima.

Ang mga posibleng palatandaan ng kompromiso ay kinabibilangan ng:

• Mga hindi inaasahang naka-iskedyul na gawain na na-configure upang ilunsad ang mga nakatagong utos ng PowerShell
• Mga kahina-hinalang papalabas na koneksyon sa mga naka-encrypt na channel na nagpapanggap na imprastraktura ng Microsoft
• Hindi pangkaraniwang kilos ng mouse o keyboard habang nagba-banking
• Mga hindi awtorisadong paglilipat ng Pix o mga hindi maipaliwanag na pagbabago sa cryptocurrency wallet
• Mga nakatagong proseso ng PowerShell at abnormal na aktibidad ng bank account

Ang anumang sistemang pinaghihinalaang may impeksyon ay dapat ihiwalay kaagad. Ang mga naka-save na kredensyal sa pagbabangko, nilalaman ng clipboard, mga token ng pagpapatotoo, at impormasyon ng cryptocurrency wallet ay dapat ituring na nakompromiso, at lahat ng nauugnay na password at kredensyal sa pag-access sa pananalapi ay dapat i-reset kaagad.