बनाना RAT: वायरस ने 16 बैंकों से डेटा चुराया

ट्रेंडमाइक्रो शोधकर्ताओं ने अप्रैल 2026 में देश में वित्तीय संस्थानों के खिलाफ ब्राजीलियाई लोगों द्वारा विकसित एक परिष्कृत मैलवेयर अभियान की खोज की। बनाना RAT नामक बैंकिंग ट्रोजन को SHADOW-WATER-063 कोड के तहत ट्रैक किया गया था और विशेष रूप से उन्नत वास्तविक समय संक्रमण और धोखाधड़ी तकनीकों का उपयोग करके 16 राष्ट्रीय बैंकों और क्रिप्टोकरेंसी एक्सचेंजों को लक्षित किया गया था।

विश्लेषण से एक जटिल संरचना का पता चला जो व्हाट्सएप और फ़िशिंग लिंक के माध्यम से वितरित इलेक्ट्रॉनिक कर दस्तावेज़ के रूप में छिपी एक दुर्भावनापूर्ण फ़ाइल से शुरू होती है। ऑपरेटर विशेष रूप से ब्राज़ीलियाई इलेक्ट्रॉनिक चालान प्रणाली से परिचित कॉर्पोरेट उपयोगकर्ताओं को लक्षित करते हैं, खतरे को छिपाने के लिए “कंसल्टार_एनएफ-ई.बैट” जैसे नामों का उपयोग करते हैं।

छह चरणों वाली संक्रमण श्रृंखला

संक्रमण प्रक्रिया एक सुव्यवस्थित प्रवाह का अनुसरण करती है। जब पीड़ित .bat फ़ाइल चलाता है, तो एक छिपा हुआ PowerShell कमांड तुरंत सक्रिय हो जाता है। यह कमांड रिमोट सर्वर से “msedge.txt” नामक दूसरा चरण डाउनलोड करता है, जो सभी कोड को अनएन्क्रिप्टेड रूप में स्टोरेज को छुए बिना सिस्टम की अस्थिर मेमोरी (रैम) में चालू रखता है।

ऑपरेटरों द्वारा बनाए रखा गया बुनियादी ढांचा परिष्कृत है। वे प्रत्येक पेलोड में ऑबफस्केशन की नौ परतों के साथ फास्टएपीआई सर्वर को आधार के रूप में उपयोग करते हैं। सिस्टम 100 से 200 अद्वितीय पूर्व-निर्मित बिल्डों का एक पूल बनाए रखता है, और पीड़ित का प्रत्येक अनुरोध एक अलग फ़ाइल का उपभोग करता है।

इसका मतलब है कि प्रत्येक डाउनलोड में एक अद्वितीय हैश होता है। पारंपरिक हस्ताक्षर पहचान तकनीकें इस रणनीति को पूरी तरह से विफल कर देती हैं। विश्लेषण के दौरान, शोधकर्ताओं ने पाया कि पूल को भरा रखने के लिए चार समानांतर धागे लगातार नए पेलोड उत्पन्न कर रहे हैं, जिससे यह सुनिश्चित होता है कि हस्ताक्षर-आधारित एंटीवायरस खतरे की पहचान नहीं कर सकते हैं।

पूर्ण रिमोट कंट्रोल और वास्तविक समय धोखाधड़ी

एक बार सक्रिय होने पर, बनाना आरएटी पूर्ण रिमोट एक्सेस क्षमताएं प्रदान करता है। ऑपरेटर जेपीईजी स्ट्रीमिंग के माध्यम से पीड़ित की स्क्रीन को वास्तविक समय में प्रसारित करने में सक्षम है, जिसमें कैप्चर कई मॉनिटरों के साथ काम करते हैं और रिज़ॉल्यूशन सेटिंग्स का सम्मान करते हैं। मैलवेयर Win32 API के माध्यम से माउस और कीबोर्ड नियंत्रण को इंजेक्ट करता है, जिससे ऑपरेटर मशीन को दूरस्थ रूप से संचालित करते समय ब्लॉकइनपुट फ़ंक्शन का उपयोग करके पीड़ित के इनपुट को फ्रीज कर सकता है।

GetAsyncKeyState पर आधारित एक कीलॉगर 2 हजार प्रविष्टियों के गोलाकार बफर में सभी कीस्ट्रोक्स को कैप्चर करता है। क्लाइंट और सर्वर के बीच सभी संचार AES-256-CBC एन्क्रिप्शन का उपयोग करते हैं, कुंजी SHA-256 के माध्यम से एक निश्चित मास्टर कुंजी से प्राप्त होती है। हमलावरों का सर्वर एनालिटिक्स पैनल देश, समय और ऑपरेटिंग सिस्टम द्वारा ट्रैक किए गए डाउनलोड दिखाता है – सभी रिकॉर्ड की गई पहुंच ब्राजील से आई थी।

मुख्य घोटाला तकनीक पूर्ण स्क्रीन ओवरले का उपयोग करती है। जब पीड़ित बैंकिंग वेबसाइट खोलता है, तो मैलवेयर एक नकली सुरक्षा अद्यतन संदेश प्रदर्शित करता है जिसमें लिखा होता है, “सुरक्षा अद्यतन आवश्यक है। अपना कंप्यूटर बंद न करें।” नकली स्क्रीन चार सिम्युलेटेड चरणों के साथ प्रगति एनीमेशन दिखाती है जबकि ऑपरेटर पृष्ठभूमि में चल रहे वास्तविक बैंकिंग सत्र में अनधिकृत हस्तांतरण करता है।

पिक्स और क्यूआर कोड इंटरसेप्शन के लिए समर्पित सबसिस्टम

मैलवेयर स्क्रीन पर QR कोड का पता लगाने और डीकोड करने के लिए ZXing.NET लाइब्रेरी का उपयोग करके Pix के लिए एक विशिष्ट सबसिस्टम लागू करता है। जब पीड़ित क्यूआर के माध्यम से बिल का भुगतान करने का प्रयास करता है, तो मैलवेयर कोड डेटा को बदल देता है। पैसा सीधे अपराधियों के खाते में जाता है. यह कार्यक्षमता विशेष रूप से ब्राज़ीलियाई बाज़ार के लिए मौजूद है, क्योंकि लक्ष्य पिक्स तकनीक है, जो अन्य देशों में मौजूद नहीं है।

शोधकर्ताओं को सीधे फ्रंटएंड सोर्स कोड में 16 लक्ष्यों की एक हार्डकोडेड सूची मिली। सभी ब्राज़ीलियाई वित्तीय संस्थान या राष्ट्रीय बाज़ार के लिए स्थित क्रिप्टोकरेंसी एक्सचेंज हैं:

• इटाऊ
• ब्रैडेस्को
• सेंटेंडर ब्राज़ील
• डिब्बा
• बैंक ऑफ़ ब्राज़ील
• फसल
• बनरीसुल
• डेकोवल
• सिकुब
• सिक्रेडी

तकनीकी हस्ताक्षर और निरंतर विकास

बुनियादी ढांचे के विश्लेषण से लगातार उंगलियों के निशान का पता चला। बहुरूपता इंजन प्रत्येक पेलोड पर “संरक्षित स्क्रिप्ट v4.0. प्रोजेक्ट बनाना (एमएसईडीजीई संस्करण)” शीर्षक अंकित करता है। संस्करण क्वालीफायर और संस्करण संख्या एक उत्पाद श्रृंखला का सुझाव देती है जिसे डेवलपर्स द्वारा लगातार अद्यतन किया जा रहा है।

बनाना आरएटी ब्राज़ीलियाई बैंकिंग ट्रोजन के टेट्रेड परिवार, जैसे ग्रैंडोरेइरो, मेकोटियो, कास्बानेइरो और चावेक्लोक के साथ क्षमताओं को साझा करता है। फ़ुल-स्क्रीन बैंकिंग ओवरले इस मैलवेयर परिवार का परिभाषित व्यवहार है। लेकिन वास्तुशिल्प अंतर इसे बाकियों से अलग करते हैं: बनाना आरएटी एक पायथन सर्वर-ऑर्केस्ट्रेटेड पावरशेल क्लाइंट है, जबकि टेट्रेड परिवार के अन्य सदस्य विभिन्न मानकों का पालन करते हैं।

इसके अलावा, प्रति पीड़ित बहुरूपता प्रणाली परिवार के अन्य सदस्यों के लिए प्रलेखित से अधिक है। बुनियादी ढांचा भी विश्लेषण के समय ग्रैंडोरेइरो के लिए प्रकाशित संकेतकों के साथ ओवरलैप नहीं होता है, यह सुझाव देता है कि ऑपरेटरों ने नई चोरी तकनीकों का उपयोग किया है जो पहले सुरक्षा समुदाय द्वारा दस्तावेज नहीं किए गए थे।

ब्राज़ीलियाई बैंकों के महासंघ को इस बढ़ते खतरे से संस्थानों और ग्राहकों की सुरक्षा के लिए ट्रेंडमाइक्रो द्वारा साझा की गई खुफिया जानकारी पहले ही मिल चुकी है।