Banana RAT

Banana RAT 是一款複雜的銀行遠端存取木馬 (RAT)，專門針對巴西用戶設計。安全研究人員將攻擊活動歸咎於威脅組織 SHADOW-WATER-063，該組織與巴西臭名昭著的 Tetrade 銀行惡意軟體生態系統密切相關。這個更廣泛的生態系統已經包含了 Grandoreiro、Mekotio、Casbaneiro、Guildma 和 CHAVECLOAK 等知名惡意軟體家族。

該惡意軟體賦予攻擊者對受感染系統的廣泛控制權，能夠即時監控螢幕、操控鍵盤和滑鼠、記錄擊鍵、攔截剪貼簿內容，並部署虛假的銀行或Windows更新頁面，以掩蓋詐欺性金融活動。 Banana RAT主要針對入侵網路銀行會話，並在受害者不知情的情況下重新導向金融交易。

感染鍊和規避策略

受害者通常會被誘騙執行名為 Consultar_NF-e.bat 的惡意批次檔。該文件偽裝成合法的巴西電子發票，即 NF-e（Nota Fiscal Eletrônica），這種格式在巴西被許多企業廣泛認可。此類惡意檔案通常透過 WhatsApp 訊息、網路釣魚活動或攻擊者控制網域上的惡意連結傳播。

Banana RAT 採用惡意軟體即服務 (MaaS) 模型運行，該模型依賴龐大的多態有效載荷池。攻擊者不會提供完全相同的惡意軟體樣本，而是維護 100 到 200 個預先產生的變種，每個變種都經過獨特的加密處理，以規避基於雜湊的偵測方法。每個有效載荷都受到九層混淆保護，並使用 AES-256 加密。

惡意批次檔啟動後，一個輕量級的 PowerShell 暫存器會從攻擊者的基礎架構下載加密的第二階段有效載荷。此有效載荷直接在記憶體中解密並執行，無需將可讀程式碼寫入磁碟，這使得傳統防毒解決方案更難檢測到該惡意軟體。為了進一步隱藏通信，該惡意軟體透過模仿合法 Microsoft CDN 基礎架構的網域搶注，在 TCP 連接埠 443 上建立命令與控制 (C2) 連接。流量使用 AES-256-CBC 加密，並使用與受感染機器的 GUID 和 MAC 位址關聯的 HMAC 令牌進行身份驗證，從而確保只有授權操作員才能與受感染的裝置互動。

完全遠端控制和銀行操作

Banana RAT 執行後，攻擊者可直接互動地控制受感染的系統。攻擊者可以即時將桌面內容串流到多個顯示器上，模擬鍵盤和滑鼠輸入，甚至在後台執行未經授權的銀行交易時，暫時停用受害者的輸入裝置。

該惡意軟體的監控能力遠不止遠端控制。其整合的鍵盤記錄器會持續將按鍵記錄到環形緩衝區中，操作者可以隨時呼叫這些記錄。此外，該惡意軟體還實現了剪貼簿監控，攻擊者可以悄無聲息地將複製的內容（包括加密貨幣錢包位址）替換為攻擊者控制的其他內容。

Banana RAT 的一個主要特徵是其針對銀行業務的覆蓋系統。該惡意軟體會監控活躍的瀏覽器視窗標題，並將其與包含 16 家巴西金融機構的硬編碼清單進行比對，這些機構包括 Itaú Unibanco、Bradesco、Santander Brasil、Caixa Econômica Federal 和 Banco do Brasil，以及在巴西運營的加密貨幣交易平台。一旦偵測到匹配項，攻擊者就可以部署逼真的全螢幕覆蓋層，模仿合法的銀行入口網站或 Windows 更新通知，從而掩蓋幕後進行的詐騙活動。

Pix二維碼劫持與長期持久性

Banana RAT 包含一個專門針對巴西即時支付平台 Pix 的子系統。該惡意軟體在運行時會載入 ZXing 條碼處理庫，掃描受害者的螢幕以查找 Pix 二維碼。一旦偵測到，攻擊者即可將合法的支付二維碼替換為詐騙二維碼，從而將資金重定向到其控制的帳戶。類似的二維碼篡改策略先前已在巴西銀行木馬（例如 Mekotio 和 CHAVECLOAK）中出現，這進一步證實了 Banana RAT 在 Tetrade 惡意軟體生態系統中的分類。

為了保持持久性，該惡意軟體會建立一個隱藏的 Windows 任務計劃程序項目項目，配置為每分鐘重新啟動一次 PowerShell 有效載荷，持續 9999 天。此計劃任務以隱藏視窗和繞過執行策略的方式執行，從而阻止可見的提示或控制台視窗出現。 Banana RAT 也會將自身複製到設計成類似於合法 Microsoft 診斷路徑的目錄中，使其能夠融入受信任的系統位置並逃避常規檢查。

主要交付方式和預警信號

Banana RAT 攻擊活動主要依賴社交工程和欺騙性文件傳播技術。常見的感染方法包括：

• 釣魚郵件包含虛假發票附件或惡意下載鏈接
• WhatsApp 和其他聊天平台訊息中包含偽裝的 NF-e 文件
• 透過被入侵的網站和惡意廣告進行的惡意下載
• 盜版軟體、虛假軟體更新和破解應用程式
• 惡意檔案格式包括 BAT、JavaScript、LNK 捷徑、ZIP 或 RAR 壓縮檔案、Office 文件、EXE 安裝程式和 MSI 套件。

妥協跡象和防禦措施

Banana RAT 專門用於即時竊取巴西銀行用戶的資金。它結合了即時遠端存取、憑證竊取、二維碼篡改和銀行介面疊加等功能，使攻擊者能夠完全劫持金融會話，同時向受害者隱藏詐欺交易。

潛在的妥協跡象包括：

• 意外的排程任務被設定為啟動隱藏的 PowerShell 指令
• 透過加密通道建立的可疑出站連接，冒充微軟基礎架構
• 在網上銀行交易過程中出現異常的滑鼠或鍵盤行為
• 未經授權的 Pix 轉帳或無法解釋的加密貨幣錢包更改
• 隱藏的 PowerShell 流程和異常銀行帳戶活動

任何疑似感染的系統都應立即隔離。已保存的銀行憑證、剪貼簿內容、身份驗證代幣和加密貨幣錢包資訊應視為已洩露，所有相關密碼和金融存取憑證應立即重設。