Banana RAT

Banana RAT là một loại Trojan truy cập từ xa (RAT) tinh vi nhắm mục tiêu vào người dùng ngân hàng tại Brazil. Các nhà nghiên cứu bảo mật cho rằng chiến dịch này do nhóm tội phạm SHADOW-WATER-063 thực hiện, nhóm này có liên hệ chặt chẽ với hệ sinh thái phần mềm độc hại ngân hàng Tetrade khét tiếng của Brazil. Hệ sinh thái rộng lớn này đã bao gồm các họ phần mềm độc hại nổi tiếng như Grandoreiro, Mekotio, Casbaneiro, Guildma và CHAVECLOAK.

Phần mềm độc hại này cung cấp cho kẻ tấn công quyền kiểm soát rộng rãi đối với các hệ thống bị nhiễm, cho phép giám sát màn hình theo thời gian thực, thao tác bàn phím và chuột, ghi nhật ký thao tác gõ phím, chặn nội dung clipboard và triển khai các màn hình giả mạo ngân hàng hoặc cập nhật Windows được thiết kế để che giấu hoạt động tài chính gian lận. Banana RAT tập trung mạnh vào việc xâm nhập các phiên giao dịch ngân hàng trực tuyến và chuyển hướng các giao dịch tài chính mà nạn nhân không hề hay biết.

Chuỗi lây nhiễm và chiến thuật né tránh

Nạn nhân thường bị lừa chạy một tập tin độc hại có tên Consultar_NF-e.bat. Tập tin này được ngụy trang thành một hóa đơn điện tử hợp lệ của Brazil, được gọi là NF-e (Nota Fiscal Eletrônica), một định dạng được các doanh nghiệp trên khắp Brazil công nhận rộng rãi. Việc phát tán thường xảy ra thông qua tin nhắn WhatsApp, các chiến dịch lừa đảo hoặc các liên kết độc hại được lưu trữ trên các tên miền do kẻ tấn công kiểm soát.

Banana RAT hoạt động theo mô hình Malware-as-a-Service (Phần mềm độc hại dưới dạng dịch vụ) dựa trên kho lớn các payload đa hình. Thay vì cung cấp các mẫu phần mềm độc hại giống hệt nhau, kẻ tấn công duy trì từ 100 đến 200 biến thể được tạo sẵn, mỗi biến thể được mã hóa độc đáo để tránh các phương pháp phát hiện dựa trên hàm băm. Mỗi payload được bảo vệ bởi chín lớp làm mờ và được mã hóa bằng AES-256.

Sau khi tập tin độc hại được khởi chạy, một chương trình PowerShell nhẹ sẽ tải xuống phần mềm độc hại giai đoạn hai đã được mã hóa từ cơ sở hạ tầng của kẻ tấn công. Phần mềm độc hại được giải mã trực tiếp trong bộ nhớ và được thực thi mà không ghi mã dễ đọc vào ổ đĩa, khiến cho các giải pháp chống virus truyền thống khó phát hiện hơn đáng kể. Để che giấu thêm thông tin liên lạc, phần mềm độc hại thiết lập kết nối Máy chủ điều khiển (C2) qua cổng TCP 443 thông qua các tên miền giả mạo (typosquatted domains) bắt chước cơ sở hạ tầng CDN hợp pháp của Microsoft. Lưu lượng truy cập được mã hóa bằng AES-256-CBC và được xác thực bằng mã thông báo HMAC liên kết với GUID và địa chỉ MAC của máy bị nhiễm, đảm bảo rằng chỉ những người điều hành được ủy quyền mới có thể tương tác với thiết bị bị xâm nhập.

Điều khiển từ xa hoàn toàn và thao tác ngân hàng

Sau khi thực thi, Banana RAT cho phép người điều hành kiểm soát trực tiếp và tương tác với hệ thống bị nhiễm. Kẻ tấn công có thể truyền phát màn hình máy tính trên nhiều màn hình trong thời gian thực, mô phỏng thao tác nhập liệu bằng bàn phím và chuột, và thậm chí tạm thời vô hiệu hóa các thiết bị nhập liệu của nạn nhân trong khi thực hiện các giao dịch ngân hàng trái phép ở chế độ nền.

Khả năng giám sát của phần mềm độc hại này không chỉ giới hạn ở việc điều khiển từ xa. Một trình ghi nhật ký bàn phím tích hợp liên tục ghi lại các thao tác gõ phím vào bộ nhớ đệm vòng mà người điều hành có thể truy xuất theo yêu cầu. Chức năng giám sát clipboard cũng được triển khai, cho phép kẻ tấn công âm thầm thay thế nội dung đã sao chép, bao gồm cả địa chỉ ví tiền điện tử, bằng các nội dung thay thế do kẻ tấn công kiểm soát.

Một đặc điểm nổi bật của Banana RAT là hệ thống lớp phủ tập trung vào lĩnh vực ngân hàng. Phần mềm độc hại này theo dõi tiêu đề cửa sổ trình duyệt đang hoạt động và so sánh chúng với danh sách được mã hóa sẵn gồm 16 tổ chức tài chính Brazil, bao gồm Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal và Banco do Brasil, cùng với các nền tảng trao đổi tiền điện tử hoạt động tại Brazil. Khi phát hiện trùng khớp, kẻ tấn công có thể triển khai các lớp phủ toàn màn hình rất thuyết phục, bắt chước các cổng thông tin ngân hàng hợp pháp hoặc thông báo cập nhật Windows, che giấu các hành vi gian lận đang diễn ra.

Tấn công chiếm đoạt mã QR Pix và khả năng duy trì lâu dài

Banana RAT bao gồm một hệ thống con chuyên dụng nhắm mục tiêu vào Pix, nền tảng thanh toán tức thời của Brazil. Bằng cách tải thư viện xử lý mã vạch ZXing trong quá trình chạy, phần mềm độc hại sẽ quét màn hình của nạn nhân để tìm mã QR của Pix. Sau khi phát hiện, kẻ tấn công có thể thay thế các mã QR thanh toán hợp pháp bằng các phiên bản giả mạo, chuyển hướng tiền vào các tài khoản do chúng kiểm soát. Các chiến thuật thao túng mã QR tương tự đã được quan sát thấy trước đây trong các phần mềm độc hại ngân hàng của Brazil như Mekotio và CHAVECLOAK, củng cố thêm việc phân loại Banana RAT trong hệ sinh thái phần mềm độc hại Tetrade.

Để duy trì sự tồn tại, phần mềm độc hại tạo ra một mục Lập lịch tác vụ Windows ẩn được cấu hình để khởi chạy lại tải trọng PowerShell mỗi phút trong 9.999 ngày. Tác vụ đã lên lịch được thực thi với các cửa sổ ẩn và các chính sách thực thi bị bỏ qua, ngăn không cho các lời nhắc hoặc cửa sổ bảng điều khiển hiển thị. Banana RAT cũng tự sao chép vào các thư mục được thiết kế để giống với các đường dẫn chẩn đoán hợp pháp của Microsoft, giúp nó hòa nhập vào các vị trí hệ thống đáng tin cậy và tránh bị kiểm tra thông thường.

Các phương pháp sinh nở chính và dấu hiệu cảnh báo

Các chiến dịch Banana RAT chủ yếu dựa vào kỹ thuật tấn công phi kỹ thuật (social engineering) và kỹ thuật phát tán tập tin lừa đảo. Các phương pháp lây nhiễm phổ biến bao gồm:

• Các email lừa đảo chứa tệp đính kèm hóa đơn giả mạo hoặc liên kết tải xuống độc hại.
• Tin nhắn WhatsApp và tin nhắn trên các nền tảng trò chuyện có chứa tài liệu NF-e được ngụy trang.
• Tải xuống tự động từ các trang web bị xâm nhập và quảng cáo độc hại.
• Phần mềm lậu, bản cập nhật phần mềm giả mạo và ứng dụng bẻ khóa.
• Các định dạng tệp độc hại như BAT, JavaScript, các phím tắt LNK, các tệp lưu trữ ZIP hoặc RAR, tài liệu Office, trình cài đặt EXE và các gói MSI.

Các dấu hiệu của sự thỏa hiệp và các biện pháp phòng vệ

Banana RAT được thiết kế đặc biệt để đánh cắp tiền từ người dùng ngân hàng Brazil trong thời gian thực. Sự kết hợp giữa truy cập từ xa trực tiếp, đánh cắp thông tin đăng nhập, thao tác mã QR và lớp phủ ngân hàng cho phép kẻ tấn công chiếm đoạt hoàn toàn các phiên giao dịch tài chính đồng thời che giấu các giao dịch gian lận khỏi nạn nhân.

Các dấu hiệu tiềm ẩn của sự xâm phạm bao gồm:

• Các tác vụ theo lịch trình không mong muốn được cấu hình để khởi chạy các lệnh PowerShell ẩn.
• Các kết nối đi ra đáng ngờ qua các kênh mã hóa mạo danh cơ sở hạ tầng của Microsoft
• Hành vi bất thường của chuột hoặc bàn phím trong quá trình giao dịch ngân hàng trực tuyến.
• Giao dịch chuyển tiền Pix trái phép hoặc thay đổi ví tiền điện tử không rõ nguyên nhân
• Các tiến trình PowerShell ẩn và hoạt động bất thường của tài khoản ngân hàng

Bất kỳ hệ thống nào bị nghi ngờ nhiễm virus đều phải được cách ly ngay lập tức. Thông tin đăng nhập ngân hàng đã lưu, nội dung clipboard, mã xác thực và thông tin ví tiền điện tử cần được coi là đã bị xâm phạm, và tất cả mật khẩu cũng như thông tin đăng nhập tài chính liên quan cần được đặt lại ngay lập tức.