Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım Banana RAT

Banana RAT

Mezo'de Kötü amaçlı yazılım, Uzaktan Yönetim Araçları'de
Çevir:

Banana RAT, özellikle Brezilya'daki kullanıcıları hedeflemek üzere tasarlanmış, gelişmiş bir bankacılık Uzaktan Erişim Truva Atı (RAT) türüdür. Güvenlik araştırmacıları, bu saldırıyı Brezilya'nın kötü şöhretli Tetrade bankacılık kötü amaçlı yazılım ekosistemiyle yakından ilişkili olan SHADOW-WATER-063 tehdit grubuna atfediyor. Bu daha geniş ekosistem, Grandoreiro, Mekotio, Casbaneiro, Guildma ve CHAVECLOAK gibi bilinen kötü amaçlı yazılım ailelerini de içeriyor.

Bu kötü amaçlı yazılım, saldırganlara bulaşmış sistemler üzerinde kapsamlı kontrol sağlayarak gerçek zamanlı ekran izleme, klavye ve fare manipülasyonu, tuş vuruşu kaydı, panoya müdahale ve sahte bankacılık veya Windows Güncelleme ekranlarının dağıtılması gibi işlemleri mümkün kılar. Banana RAT, kurbanın farkına varmadan çevrimiçi bankacılık oturumlarını tehlikeye atmaya ve finansal işlemleri yönlendirmeye odaklanmıştır.

Enfeksiyon Zinciri ve Kaçınma Taktikleri

Kurbanlar genellikle Consultar_NF-e.bat adlı kötü amaçlı bir toplu işlem dosyasını çalıştırmaya kandırılıyor. Dosya, Brezilya genelinde işletmeler tarafından yaygın olarak tanınan bir format olan NF-e (Nota Fiscal Eletrônica) olarak bilinen meşru bir Brezilya elektronik faturası gibi gizlenmiştir. Dağıtım genellikle WhatsApp mesajları, kimlik avı kampanyaları veya saldırgan kontrolündeki alan adlarında barındırılan kötü amaçlı bağlantılar aracılığıyla gerçekleşir.

Banana RAT, çok biçimli zararlı yazılımların büyük havuzlarına dayanan bir Hizmet Olarak Kötü Amaçlı Yazılım modeli kullanarak çalışır. Saldırganlar, özdeş zararlı yazılım örnekleri sunmak yerine, her biri karma tabanlı tespit yöntemlerinden kaçınmak için benzersiz şekilde şifrelenmiş 100 ila 200 önceden oluşturulmuş varyantı muhafaza eder. Her zararlı yazılım, dokuz katmanlı gizleme ile korunur ve AES-256 kullanılarak şifrelenir.

Kötü amaçlı toplu işlem dosyası başlatıldıktan sonra, hafif bir PowerShell çalıştırıcısı, saldırganın altyapısından şifrelenmiş ikinci aşama yükünü indirir. Yük, doğrudan bellekte şifresi çözülür ve diske okunabilir kod yazılmadan yürütülür; bu da kötü amaçlı yazılımın geleneksel antivirüs çözümleri tarafından tespit edilmesini önemli ölçüde zorlaştırır. İletişimi daha da gizlemek için, kötü amaçlı yazılım, meşru Microsoft CDN altyapısını taklit eden yazım hatası içeren alan adları aracılığıyla TCP 443 portu üzerinden Komuta ve Kontrol (C2) bağlantısını kurar. Trafik AES-256-CBC ile şifrelenir ve enfekte makinenin GUID ve MAC adresine bağlı HMAC belirteçleri kullanılarak doğrulanır; bu da yalnızca yetkili operatörlerin tehlikeye atılmış cihazla etkileşim kurabilmesini sağlar.

Tam Uzaktan Kontrol ve Bankacılık Manipülasyonu

Çalıştırıldıktan sonra, Banana RAT, operatörlere enfekte sistem üzerinde doğrudan ve etkileşimli kontrol sağlar. Saldırganlar, masaüstünü gerçek zamanlı olarak birden fazla monitöre aktarabilir, klavye ve fare girişini simüle edebilir ve hatta yetkisiz bankacılık işlemleri arka planda gerçekleştirilirken kurbanın kendi giriş aygıtlarını geçici olarak devre dışı bırakabilirler.

Kötü amaçlı yazılımın gözetleme yetenekleri uzaktan kontrolün ötesine uzanıyor. Entegre bir keylogger, tuş vuruşlarını sürekli olarak bir halka arabelleğe kaydediyor ve operatörler bu arabelleği istedikleri zaman alabiliyorlar. Ayrıca pano izleme de uygulanmış olup, saldırganların kripto para cüzdan adresleri de dahil olmak üzere kopyalanan içeriği, tehdit aktörü tarafından kontrol edilen alternatiflerle sessizce değiştirmesine olanak tanıyor.

Banana RAT'ın en önemli ayırt edici özelliklerinden biri, bankacılık odaklı kaplama sistemidir. Kötü amaçlı yazılım, aktif tarayıcı penceresi başlıklarını izler ve bunları, Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal ve Banco do Brasil dahil olmak üzere 16 Brezilya finans kurumunun yanı sıra Brezilya'da faaliyet gösteren kripto para borsası platformlarının önceden kodlanmış bir listesiyle karşılaştırır. Eşleşme tespit edildiğinde, saldırganlar meşru bankacılık portallarını veya Windows Güncelleme bildirimlerini taklit eden ikna edici tam ekran kaplamalar yerleştirerek, arka planda gerçekleşen sahtekarlık eylemlerini gizleyebilirler.

Pix QR Kodlarının Ele Geçirilmesi ve Uzun Süreli Kalıcılığı

Banana RAT, Brezilya'nın anlık ödeme platformu Pix'i hedef alan özel bir alt sistem içeriyor. Kötü amaçlı yazılım, çalışma zamanında ZXing barkod işleme kütüphanesini yükleyerek kurbanın ekranını Pix QR kodları için tarıyor. Tespit edildikten sonra, saldırganlar meşru ödeme QR kodlarını, fonları kendi kontrolleri altındaki hesaplara yönlendiren sahte sürümlerle değiştirebiliyor. Benzer QR kod manipülasyon taktikleri daha önce Mekotio ve CHAVECLOAK gibi Brezilya bankacılık truva atlarında da gözlemlenmişti ve bu da Banana RAT'ın Tetrade kötü amaçlı yazılım ekosistemi içindeki sınıflandırmasını güçlendiriyor.

Kalıcılığını sağlamak için, kötü amaçlı yazılım, 9.999 gün boyunca her dakika PowerShell yükünü yeniden başlatacak şekilde yapılandırılmış gizli bir Windows Görev Zamanlayıcısı girişi oluşturur. Zamanlanmış görev, gizli pencereler ve atlanmış yürütme politikalarıyla çalışır ve görünür komut istemlerinin veya konsol pencerelerinin görünmesini engeller. Banana RAT ayrıca, meşru Microsoft tanılama yollarına benzeyecek şekilde tasarlanmış dizinlere kendini kopyalayarak, güvenilir sistem konumlarına karışmasına ve sıradan incelemelerden kaçınmasına yardımcı olur.

Başlıca Teslimat Yöntemleri ve Uyarı İşaretleri

Banana RAT saldırıları öncelikle sosyal mühendislik ve aldatıcı dosya dağıtım tekniklerine dayanır. Yaygın bulaşma yöntemleri şunlardır:

  • Sahte fatura ekleri veya zararlı indirme bağlantıları içeren kimlik avı e-postaları.
  • Gizlenmiş NF-e belgeleri içeren WhatsApp ve sohbet platformu mesajları
  • Güvenliği ihlal edilmiş web sitelerinden ve zararlı reklamlardan yapılan otomatik indirmeler.
  • Korsan yazılımlar, sahte yazılım güncellemeleri ve kırılmış uygulamalar
  • BAT, JavaScript, LNK kısayolları, ZIP veya RAR arşivleri, Office belgeleri, EXE yükleyicileri ve MSI paketleri gibi kötü amaçlı dosya biçimleri.

Uzlaşma Göstergeleri ve Savunma Önlemleri

Banana RAT, özellikle Brezilya bankacılık kullanıcılarından gerçek zamanlı olarak para çalmak için tasarlanmıştır. Canlı uzaktan erişim, kimlik bilgisi hırsızlığı, QR kod manipülasyonu ve bankacılık katmanlarının birleşimi, saldırganların sahte işlemleri kurbanlardan gizlerken finansal oturumları tamamen ele geçirmelerine olanak tanır.

Olası uzlaşmazlık göstergeleri şunlardır:

  • Beklenmeyen zamanlanmış görevler, gizli PowerShell komutlarını çalıştırmak üzere yapılandırılmış.
  • Şifreli kanallar üzerinden Microsoft altyapısını taklit eden şüpheli giden bağlantılar.
  • Çevrimiçi bankacılık oturumları sırasında fare veya klavyenin olağandışı davranışı
  • Yetkisiz Pix transferleri veya açıklanamayan kripto para cüzdanı değişiklikleri
  • Gizli PowerShell işlemleri ve anormal banka hesabı aktivitesi

Virüs bulaştığından şüphelenilen herhangi bir sistem derhal izole edilmelidir. Kaydedilmiş bankacılık kimlik bilgileri, pano içeriği, kimlik doğrulama belirteçleri ve kripto para cüzdanı bilgileri tehlikeye girmiş olarak kabul edilmeli ve ilgili tüm şifreler ve finansal erişim kimlik bilgileri gecikmeksizin sıfırlanmalıdır.

trend

Güvenilir Cihazları ve Konumları Tanıma Özelliğiyle...

Kimlik avı, İstenmeyen e-posta
Beklenmedik ve acil işlem gerektiren e-postalar, özellikle hesap güvenliği uyarıları veya kişisel bilgilerin doğrulanması talepleri içeriyorsa, her zaman dikkatle ele alınmalıdır. Siber suçlular, alıcıları hassas verileri ifşa etmeye yönlendirmek için sıklıkla kimlik avı mesajlarını resmi bildirimler gibi gösterirler. 'Güvenilir Cihazları ve Konumları Tanımak İçin Güvenlik Güncellemesi'...

En çok görüntülenen

Yükleniyor...