趋势科技研究人员于 2026 年 4 月发现了巴西人针对该国金融机构开发的复杂恶意软件活动。名为 Banana RAT 的银行木马的追踪代码为 SHADOW-WATER-063,该木马使用先进的实时感染和欺诈技术,专门针对 16 家国家银行和加密货币交易所。
分析揭示了一个复杂的架构,该架构始于伪装成电子税务文件的恶意文件,通过 WhatsApp 和网络钓鱼链接分发。运营商特别针对熟悉巴西电子发票系统的企业用户,使用“Consultar_NF-e.bat”等名称来伪装威胁。
六步感染链
感染过程遵循结构良好的流程。当受害者运行 .bat 文件时,会立即触发隐藏的 PowerShell 命令。此命令从远程服务器下载名为“msedge.txt”的第二步,使所有代码在系统的易失性内存 (RAM) 中运行,而不会以未加密的形式接触存储。
运营商维护的基础设施非常复杂。他们使用 FastAPI 服务器作为基础,每个有效负载中都有九层混淆。该系统维护着一个由 100 到 200 个独特的预生成版本组成的池,来自受害者的每个请求都会消耗一个不同的文件。
这意味着每次下载都有一个唯一的哈希值。传统的签名检测技术完全无法实现这一策略。在分析过程中,研究人员发现四个并行线程不断生成新的有效负载以保持池满,确保基于签名的防病毒软件无法识别威胁。
全程远程控制,实时诈骗
一旦激活,Banana RAT 即可提供完整的远程访问功能。操作员能够通过 JPEG 流实时传输受害者的屏幕,捕获的图像可与多个显示器配合使用并遵守分辨率设置。该恶意软件通过 Win32 API 注入鼠标和键盘控制,允许操作员在远程操作机器时使用 BlockInput 函数冻结受害者的输入。
基于 GetAsyncKeyState 的键盘记录器捕获包含 2000 个条目的循环缓冲区中的所有击键。客户端和服务器之间的所有通信均使用 AES-256-CBC 加密,密钥通过 SHA-256 从固定主密钥派生。攻击者的服务器分析面板显示了按国家、时间和操作系统跟踪的下载——所有记录的访问都来自巴西。
主要诈骗技术使用全屏覆盖。当受害者打开银行网站时,恶意软件会显示一条虚假的安全更新消息,上面写着“需要安全更新。请勿关闭您的计算机。”假屏幕显示带有四个模拟步骤的进度动画,而操作员在后台运行的真实银行会话中执行未经授权的转账。
用于 Pix 和 QR 码拦截的专用子系统
该恶意软件为 Pix 实现了一个特定的子系统,使用 ZXing.NET 库来检测和解码屏幕上的 QR 码。当受害者尝试通过二维码支付账单时,恶意软件会替换代码数据。这些钱直接进入犯罪分子的账户。此功能仅适用于巴西市场,因为目标是 Pix 技术,而其他国家/地区不存在该技术。
研究人员直接在前端源代码中发现了包含 16 个目标的硬编码列表。所有这些都是面向全国市场的巴西金融机构或加密货币交易所:
- 伊塔乌
- 布拉德斯科
- 巴西桑坦德银行
- 盒子
- 巴西银行
- 收成
- 班里苏尔
- 戴科瓦尔
- 西库布
- 西克雷迪
技术签名和持续开发
基础设施分析揭示了一致的指纹。多态引擎使用标头“PROTECTED SCRIPT v4.0.Project Banana(MSEDGE EDITION)”标记每个有效负载。版本限定符和版本号表明开发人员不断更新的产品线。
Banana RAT 与巴西银行木马 Tetrade 系列共享功能,例如 Grandoreiro、Mekotio、Casbaneiro 和 CHAVECLOAK。全屏银行覆盖是该恶意软件家族的定义行为。但架构差异使其与众不同:Banana RAT 是一个 Python 服务器协调的 PowerShell 客户端,而 Tetrade 家族的其他成员遵循不同的标准。
此外,每个受害者的多态性系统超过了其他家庭成员记录的多态性系统。该基础设施也与分析时已发布的 Grandoreiro 指标不重叠,这表明运营商使用了安全社区之前未记录的新规避技术。
巴西银行联合会已经收到趋势科技分享的情报,以保护机构和客户免受这一日益严重的威胁。