多许可证折扣报价
威胁数据库 恶意软件 Banana RAT

Banana RAT

通过Mezo恶意软件, 远程管理工具
翻译为:

Banana RAT 是一款复杂的银行远程访问木马 (RAT),专门针对巴西用户设计。安全研究人员将此次攻击活动归咎于威胁组织 SHADOW-WATER-063,该组织与巴西臭名昭著的 Tetrade 银行恶意软件生态系统密切相关。这个更广泛的生态系统已经包含了 Grandoreiro、Mekotio、Casbaneiro、Guildma 和 CHAVECLOAK 等知名恶意软件家族。

该恶意软件赋予攻击者对受感染系统的广泛控制权,能够实时监控屏幕、操控键盘和鼠标、记录击键、拦截剪贴板内容,并部署虚假的银行或Windows更新页面,以掩盖欺诈性金融活动。Banana RAT主要针对入侵网上银行会话,并在受害者不知情的情况下重定向金融交易。

感染链和规避策略

受害者通常会被诱骗执行名为 Consultar_NF-e.bat 的恶意批处理文件。该文件伪装成合法的巴西电子发票,即 NF-e(Nota Fiscal Eletrônica),这种格式在巴西被众多企业广泛认可。此类恶意文件通常通过 WhatsApp 消息、网络钓鱼活动或攻击者控制域名上的恶意链接传播。

Banana RAT 采用恶意软件即服务 (MaaS) 模型运行,该模型依赖于庞大的多态有效载荷池。攻击者不会提供完全相同的恶意软件样本,而是维护 100 到 200 个预先生成的变种,每个变种都经过独特的加密处理,以规避基于哈希的检测方法。每个有效载荷都受到九层混淆保护,并使用 AES-256 加密。

恶意批处理文件启动后,一个轻量级的 PowerShell 暂存器会从攻击者的基础架构下载加密的第二阶段有效载荷。该有效载荷直接在内存中解密并执行,无需将可读代码写入磁盘,这使得传统反病毒解决方案更难检测到该恶意软件。为了进一步隐藏通信,该恶意软件通过模仿合法 Microsoft CDN 基础架构的域名抢注,在 TCP 端口 443 上建立命令与控制 (C2) 连接。流量使用 AES-256-CBC 加密,并使用与受感染机器的 GUID 和 MAC 地址关联的 HMAC 令牌进行身份验证,从而确保只有授权操作员才能与受感染的设备交互。

完全远程控制和银行操作

Banana RAT 执行后,攻击者可直接交互式地控制受感染的系统。攻击者可以实时将桌面内容串流到多个显示器上,模拟键盘和鼠标输入,甚至在后台执行未经授权的银行交易时,暂时禁用受害者的输入设备。

该恶意软件的监控能力远不止远程控制。其集成的键盘记录器会持续将击键记录到环形缓冲区中,操作者可以随时调用这些缓冲区中的数据。此外,该恶意软件还实现了剪贴板监控,攻击者可以悄无声息地将复制的内容(包括加密货币钱包地址)替换为攻击者控制的其他内容。

Banana RAT 的一个主要特征是其针对银行业务的覆盖系统。该恶意软件会监控活跃的浏览器窗口标题,并将其与一个包含 16 家巴西金融机构的硬编码列表进行比对,这些机构包括 Itaú Unibanco、Bradesco、Santander Brasil、Caixa Econômica Federal 和 Banco do Brasil,以及在巴西运营的加密货币交易平台。一旦检测到匹配项,攻击者就可以部署逼真的全屏覆盖层,模仿合法的银行门户或 Windows 更新通知,从而掩盖幕后进行的欺诈活动。

Pix二维码劫持和长期持久性

Banana RAT 包含一个专门针对巴西即时支付平台 Pix 的子系统。该恶意软件在运行时加载 ZXing 条形码处理库,扫描受害者的屏幕以查找 Pix 二维码。一旦检测到,攻击者即可将合法的支付二维码替换为欺诈性二维码,从而将资金重定向到其控制的账户。类似的二维码篡改策略此前已在巴西银行木马(例如 Mekotio 和 CHAVECLOAK)中出现,这进一步证实了 Banana RAT 在 Tetrade 恶意软件生态系统中的分类。

为了保持持久性,该恶意软件会创建一个隐藏的 Windows 任务计划程序条目,配置为每分钟重新启动一次 PowerShell 有效载荷,持续 9999 天。该计划任务以隐藏窗口和绕过执行策略的方式执行,从而阻止可见的提示或控制台窗口出现。Banana RAT 还会将自身复制到设计成类似于合法 Microsoft 诊断路径的目录中,使其能够融入受信任的系统位置并逃避常规检查。

主要交付方式和预警信号

Banana RAT 攻击活动主要依赖于社交工程和欺骗性文件传播技术。常见的感染方法包括:

  • 钓鱼邮件包含虚假发票附件或恶意下载链接
  • WhatsApp 和其他聊天平台消息中包含伪装的 NF-e 文件
  • 通过被入侵的网站和恶意广告进行的恶意下载
  • 盗版软件、虚假软件更新和破解应用程序
  • 恶意文件格式包括 BAT、JavaScript、LNK 快捷方式、ZIP 或 RAR 压缩文件、Office 文档、EXE 安装程序和 MSI 包。

妥协迹象和防御措施

Banana RAT 专门用于实时窃取巴西银行用户的资金。它结合了实时远程访问、凭证窃取、二维码篡改和银行界面叠加等功能,使攻击者能够完全劫持金融会话,同时向受害者隐藏欺诈交易。

潜在的妥协迹象包括:

  • 意外的计划任务被配置为启动隐藏的 PowerShell 命令
  • 通过加密通道建立的可疑出站连接,冒充微软基础架构
  • 网上银行交易过程中出现异常的鼠标或键盘行为
  • 未经授权的 Pix 转账或无法解释的加密货币钱包更改
  • 隐藏的 PowerShell 进程和异常银行账户活动

任何疑似感染的系统都应立即隔离。已保存的银行凭证、剪贴板内容、身份验证令牌和加密货币钱包信息均应视为已泄露,所有相关密码和金融访问凭证均应立即重置。

趋势

安全更新可识别受信任的设备和位置,防范电子邮件诈骗

网络钓鱼, 垃圾邮件
对于要求紧急采取行动的意外电子邮件,务必保持警惕,尤其是涉及账户安全警告或要求验证个人信息的邮件。网络犯罪分子经常将钓鱼邮件伪装成官方通知,诱骗收件人泄露敏感数据。“安全更新以识别受信任的设备和位置”邮件就是此类诈骗活动的一部分,与任何合法公司、组织或电子邮件服务提供商均无关联。 伪装成官方警报的欺诈性安全通知 “安全更新以识别受信任的设备和位置”骗局是指伪装成电子邮件服务提供商或主机托管服务商发送的钓鱼邮件。这些邮件声称已推出一项新的安全功能,用于识别与收件人电子邮件帐户关联的受信任设备和登录位置。 根据邮件内容,用户必须立即检查并更新账户设置,才能继续安全使用邮箱。诈骗分子试图制造紧迫感,警告称如果在24小时内未完成更新,账户将被暂停使用。 为了使邮件更具说服力,这些邮件通常伪装成来自“cPanel Webmail...

Aibrowseruodate.com

恶意网站, 广告软件, 浏览器劫持者
如今,上网时保持谨慎比以往任何时候都更加重要。网络犯罪分子和欺诈性广告商不断创建恶意网站,旨在操纵访问者采取有害行为。许多此类网页都依赖于误导性手段,例如伪造的验证码、虚假的恶意软件警报以及看似来自合法安全软件或可信服务的虚假安全警告。他们的目的通常相同:诱骗用户点击“允许”按钮,从而订阅烦人的浏览器通知。 一旦授予通知权限,像 Aibrowseruodate.com...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
30,317
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
26,768
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...

Eporner.com

问题
21,310
互联网是一个广阔的空间,充满了实用的内容、娱乐和信息,但也存在一些阴暗的角落。无论您是在观看节目、下载应用程序,还是访问成人内容平台,保持警惕都至关重要。许多网站,尤其是那些依靠大量广告的网站,都可能带来严重的安全风险。其中一个令人担忧的网站是 Eporner.com——一个广受欢迎的成人内容中心,不仅以其视频而闻名,还因其激进的广告策略而闻名。 Eporner.com:你真正走进的是什么...
正在加载...