Банановий ЩУР
Banana RAT — це складний банківський троян віддаленого доступу (RAT), розроблений спеціально для атаки на користувачів у Бразилії. Дослідники безпеки пов'язують кампанію з групою загроз SHADOW-WATER-063, яка тісно пов'язана з відомою бразильською екосистемою банківських шкідливих програм Tetrade. Ця ширша екосистема вже включає відомі сімейства шкідливих програм, такі як Grandoreiro, Mekotio, Casbaneiro, Guildma та CHAVECLOAK.
Це шкідливе програмне забезпечення надає зловмисникам широкий контроль над зараженими системами, дозволяючи моніторинг екрана в режимі реального часу, маніпулювання клавіатурою та мишею, реєстрацію натискань клавіш, перехоплення буфера обміну та розгортання фальшивих банківських екранів або екранів оновлень Windows, призначених для приховування шахрайської фінансової діяльності. Banana RAT зосереджена на компрометації сеансів онлайн-банкінгу та перенаправленні фінансових транзакцій непомітно для жертви.
Зміст
Ланцюг зараження та тактика ухилення
Жертв зазвичай обманом змушують запустити шкідливий пакетний файл під назвою Consultar_NF-e.bat. Файл маскується під законний бразильський електронний рахунок-фактуру, відомий як NF-e (Nota Fiscal Eletrônica), формат, широко розпізнаний підприємствами по всій Бразилії. Розповсюдження зазвичай відбувається через повідомлення WhatsApp, фішингові кампанії або шкідливі посилання, розміщені на доменах, контрольованих зловмисниками.
Banana RAT працює за моделлю «шкідливе програмне забезпечення як послуга», яка спирається на великі пули поліморфних корисних даних. Замість того, щоб надавати ідентичні зразки шкідливого програмного забезпечення, зловмисники підтримують від 100 до 200 попередньо згенерованих варіантів, кожен з яких унікально перемішаний, щоб обійти методи виявлення на основі хешування. Кожен корисний код захищений дев'ятьма рівнями обфускації та шифрується за допомогою AES-256.
Після запуску шкідливого пакетного файлу, легкий стажер PowerShell завантажує зашифроване корисне навантаження другого етапу з інфраструктури зловмисника. Корисне навантаження розшифровується безпосередньо в пам'яті та виконується без запису читабельного коду на диск, що значно ускладнює виявлення шкідливого програмного забезпечення традиційними антивірусними рішеннями. Для подальшого приховування зв'язку шкідливе програмне забезпечення встановлює своє з'єднання Command-and-Control (C2) через TCP-порт 443 через домени з помилками, які імітують легітимну інфраструктуру Microsoft CDN. Трафік шифрується за допомогою AES-256-CBC та автентифікується за допомогою токенів HMAC, пов'язаних з GUID та MAC-адресою зараженої машини, що гарантує, що лише авторизовані оператори можуть взаємодіяти зі скомпрометованим пристроєм.
Повне дистанційне керування та маніпулювання банківськими операціями
Після виконання Banana RAT надає операторам прямий та інтерактивний контроль над зараженою системою. Зловмисники можуть транслювати робочий стіл на кілька моніторів у режимі реального часу, імітувати введення з клавіатури та миші та навіть тимчасово вимикати власні пристрої введення жертви, поки у фоновому режимі виконуються несанкціоновані банківські операції.
Можливості спостереження шкідливого програмного забезпечення виходять за рамки дистанційного керування. Інтегрований кейлогер безперервно записує натискання клавіш у кільцевий буфер, який оператори можуть отримати на вимогу. Також реалізовано моніторинг буфера обміну, що дозволяє зловмисникам непомітно замінювати скопійований контент, включаючи адреси криптовалютних гаманців, альтернативами, контрольованими зловмисником.
Головною відмінною рисою Banana RAT є його система накладання, орієнтована на банківську справу. Шкідливе програмне забезпечення відстежує заголовки активних вікон браузера та порівнює їх із жорстко закодованим списком 16 бразильських фінансових установ, включаючи Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal та Banco do Brasil, а також платформи обміну криптовалютами, що працюють у Бразилії. Коли виявляється збіг, зловмисники можуть розгортати переконливі повноекранні накладання, що імітують легітимні банківські портали або сповіщення Windows Update, маскуючи шахрайські дії, що відбуваються за лаштунками.
Викрадення QR-коду Pix та його тривале збереження
Banana RAT містить спеціальну підсистему, спрямовану на Pix, бразильську платформу миттєвих платежів. Завантажуючи бібліотеку обробки штрих-кодів ZXing під час виконання, шкідливе програмне забезпечення сканує екран жертви на наявність QR-кодів Pix. Після виявлення зловмисники можуть замінити легітимні QR-коди платежів шахрайськими версіями, які перенаправляють кошти на рахунки, що знаходяться під їхнім контролем. Подібні тактики маніпуляції QR-кодами раніше спостерігалися в бразильських банківських троянах, таких як Mekotio та CHAVECLOAK, що підтверджує класифікацію Banana RAT в екосистемі шкідливого програмного забезпечення Tetrade.
Для забезпечення стійкості шкідливе програмне забезпечення створює прихований запис планувальника завдань Windows, налаштований на перезапуск корисного навантаження PowerShell щохвилини протягом 9999 днів. Заплановане завдання виконується з прихованими вікнами та в обхід політик виконання, що запобігає появі видимих підказок або вікон консолі. Banana RAT також копіює себе в каталоги, розроблені так, щоб імітувати легітимні діагностичні шляхи Microsoft, що допомагає йому інтегруватися в надійні системні розташування та уникати випадкової перевірки.
Основні методи доставки та попереджувальні знаки
Кампанії Banana RAT в основному спираються на соціальну інженерію та оманливі методи доставки файлів. Поширені методи зараження включають:
- Фішингові електронні листи з підробленими вкладеннями до рахунків-фактур або шкідливими посиланнями для завантаження
- Повідомлення у WhatsApp та на чат-платформах, що містять замасковані документи NF-e
- Завантаження з компрометованих веб-сайтів та шкідливої реклами
- Піратське програмне забезпечення, підроблені оновлення програмного забезпечення та зламані програми
- Шкідливі формати файлів, такі як BAT, JavaScript, ярлики LNK, архіви ZIP або RAR, документи Office, інсталятори EXE та пакети MSI
Ознаки компромісу та захисних заходів
Banana RAT спеціально розроблений для крадіжки грошей у користувачів бразильських банків у режимі реального часу. Його поєднання віддаленого доступу в реальному часі, крадіжки облікових даних, маніпуляції з QR-кодами та банківських накладок дозволяє зловмисникам повністю захоплювати фінансові сесії, приховуючи шахрайські транзакції від жертв.
Потенційні ознаки компрометації включають:
- Неочікувані заплановані завдання, налаштовані на запуск прихованих команд PowerShell
- Підозрілі вихідні з’єднання через зашифровані канали, що видають себе за інфраструктуру Microsoft
- Незвичайна поведінка миші або клавіатури під час сеансів онлайн-банкінгу
- Несанкціоновані перекази Pix або незрозумілі зміни в криптовалютному гаманці
- Приховані процеси PowerShell та аномальна активність банківських рахунків
Будь-яку систему, підозрювану у зараженні, слід негайно ізолювати. Збережені банківські облікові дані, вміст буфера обміну, токени автентифікації та інформацію про криптовалютні гаманці слід розглядати як скомпрометовані, а всі пов’язані паролі та облікові дані для доступу до фінансових даних слід негайно скинути.
