Banana RAT：病毒竊取 16 家銀行的數據

趨勢科技研究人員於 2026 年 4 月發現了巴西人針對該國金融機構所開發的複雜惡意軟體活動。名為 Banana RAT 的銀行木馬的追蹤代碼為 SHADOW-WATER-063，該木馬使用先進的即時感染和詐欺技術，專門針對 16 家國家銀行和加密貨幣交易所。

分析揭示了一個複雜的架構，該架構始於偽裝成電子稅務文件的惡意文件，透過 WhatsApp 和網路釣魚連結分發。營運商特別針對熟悉巴西電子發票系統的企業用戶，使用「Consultar_NF-e.bat」等名稱來偽裝威脅。

六步驟感染鏈

感染過程遵循結構良好的流程。當受害者執行 .bat 檔案時，會立即觸發隱藏的 PowerShell 命令。此命令從遠端伺服器下載名為「msedge.txt」的第二步，使所有程式碼在系統的揮發性記憶體 (RAM) 中運行，而不會以未加密的形式接觸儲存。

營運商維護的基礎設施非常複雜。他們使用 FastAPI 伺服器作為基礎，每個有效負載中都有九層混淆。該系統維護一個由 100 到 200 個獨特的預生成版本組成的池，來自受害者的每個請求都會消耗一個不同的檔案。

這意味著每次下載都有一個唯一的哈希值。傳統的簽章檢測技術完全無法實現此策略。在分析過程中，研究人員發現四個平行執行緒不斷產生新的有效負載以保持池滿，確保基於簽署的防毒軟體無法識別威脅。

全程遠端控制，即時詐騙

一旦激活，Banana RAT 即可提供完整的遠端存取功能。操作員能夠透過 JPEG 串流即時傳輸受害者的螢幕，擷取的影像可與多個顯示器配合使用並遵守解析度設定。該惡意軟體透過 Win32 API 注入滑鼠和鍵盤控制，允許操作員在遠端操作機器時使用 BlockInput 函數凍結受害者的輸入。

基於 GetAsyncKeyState 的鍵盤記錄器會擷取包含 2000 個項目的循環緩衝區中的所有按鍵。客戶端和伺服器之間的所有通訊均使用 AES-256-CBC 加密，金鑰透過 SHA-256 從固定主金鑰派生。攻擊者的伺服器分析面板顯示了按國家、時間和作業系統追蹤的下載——所有記錄的存取都來自巴西。

主要诈骗技术使用全屏覆盖。當受害者打開銀行網站時，惡意軟體會顯示一條虛假的安全更新訊息，上面寫著「需要安全更新。請勿關閉您的電腦。」假螢幕顯示帶有四個模擬步驟的進度動畫，而操作員在後台運行的真實銀行會話中執行未經授權的轉帳。

Leia Tambem

星際天體 3I/Atlas 以 57 公里/秒的速度穿越太陽系並逃脫引力吸引力

巴黎聖日爾曼 x 阿森納在歐洲冠軍聯賽決賽中：在哪裡觀看直播和可能的陣容

Rockstar Games 更改時間表，《俠盜獵車手 VI》將於 2026 年底登陸主機

用於 Pix 和 QR 碼攔截的專用子系統

該惡意軟體為 Pix 實現了一個特定的子系統，使用 ZXing.NET 程式庫來偵測和解碼螢幕上的 QR 碼。當受害者嘗試透過二維碼支付帳單時，惡意軟體會替換程式碼資料。這些錢直接進入犯罪分子的帳戶。此功能僅適用於巴西市場，因為目標是 Pix 技術，而其他國家/地區則不存在該技術。

研究人員直接在前端原始碼中發現了包含 16 個目標的硬編碼清單。所有這些都是面向全國市場的巴西金融機構或加密貨幣交易所：

• 伊塔烏
• 布拉德斯科
• 巴西桑坦德銀行
• 盒子
• 巴西銀行
• 收成
• 班裡蘇爾
• 戴科瓦爾
• 西庫布
• 西克雷迪

技術簽名與持續開發

基礎設施分析揭示了一致的指紋。多態引擎使用標頭「PROTECTED SCRIPT v4.0.Project Banana（MSEDGE EDITION）」標記每個有效負載。版本限定符和版本號碼表示開發人員不斷更新的產品線。

Banana RAT 与巴西银行木马 Tetrade 系列共享功能，例如 Grandoreiro、Mekotio、Casbaneiro 和 CHAVECLOAK。全屏银行覆盖是该恶意软件家族的定义行为。但架構差異使其與眾不同：Banana RAT 是一個 Python 伺服器協調的 PowerShell 用戶端，而 Tetrade 家族的其他成員則遵循不同的標準。

此外，每個受害者的多態性系統超過了其他家庭成員記錄的多態性系統。該基礎設施也與分析時已發布的 Grandoreiro 指標不重疊，這表明營運商使用了安全社區之前未記錄的新規避技術。

巴西銀行聯合會已經收到趨勢科技分享的情報，以保護機構和客戶免受這一日益嚴重的威脅。