Το Pesquisadores της TrendMicro ανακάλυψε τον Απρίλιο του 2026 μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού που αναπτύχθηκε από Βραζιλιάνους κατά των χρηματοπιστωτικών ιδρυμάτων της χώρας. Το τραπεζικό Trojan που ονομάζεται Banana RAT παρακολουθήθηκε με τον κωδικό SHADOW-WATER-063 και στοχεύει συγκεκριμένα 16 εθνικές τράπεζες και ανταλλακτήρια κρυπτονομισμάτων χρησιμοποιώντας προηγμένες τεχνικές μόλυνσης και απάτης σε πραγματικό χρόνο.
Η ανάλυση αποκάλυψε μια περίπλοκη αρχιτεκτονική που ξεκινά με ένα κακόβουλο αρχείο μεταμφιεσμένο σε ηλεκτρονικό φορολογικό έγγραφο που διανέμεται μέσω WhatsApp και συνδέσμων phishing. Οι φορείς εκμετάλλευσης στοχεύουν ιδιαίτερα εταιρικούς χρήστες που είναι εξοικειωμένοι με το βραζιλιάνικο ηλεκτρονικό σύστημα τιμολόγησης, χρησιμοποιώντας ονόματα όπως “Consultar_NF-e.bat” για να καμουφλάρουν την απειλή.
Cadeia μόλυνση έξι σταδίων
Η διαδικασία μόλυνσης ακολουθεί μια καλά δομημένη ροή. Το Quando το θύμα εκτελεί το αρχείο .bat, μια κρυφή εντολή PowerShell ενεργοποιείται αμέσως. Η εντολή Esse κατεβάζει ένα δεύτερο βήμα που ονομάζεται “msedge.txt” από έναν απομακρυσμένο διακομιστή, διατηρώντας όλο τον κώδικα σε λειτουργία στην πτητική μνήμη (RAM) του συστήματος χωρίς να αγγίζει τον χώρο αποθήκευσης σε μη κρυπτογραφημένη μορφή.
Η υποδομή που διατηρούν οι φορείς εκμετάλλευσης είναι εξελιγμένη. Διακομιστές FastAPI που βασίζονται στο Utilizam με εννέα επίπεδα συσκότισης σε κάθε ωφέλιμο φορτίο. Το σύστημα διατηρεί μια ομάδα από 100 έως 200 μοναδικές εκ των προτέρων δημιουργημένες εκδόσεις και κάθε αίτημα από ένα θύμα καταναλώνει ένα διαφορετικό αρχείο.
Isso σημαίνει ότι κάθε λήψη έχει ένα μοναδικό κατακερματισμό. Η παραδοσιακή ανίχνευση υπογραφών Técnicas αποτυγχάνει εντελώς αυτή τη στρατηγική. Ανάλυση Durante, οι ερευνητές βρήκαν τέσσερα παράλληλα νήματα που παράγουν συνεχώς νέα ωφέλιμα φορτία για να διατηρηθεί η πισίνα γεμάτη, διασφαλίζοντας ότι τα antivirus που βασίζονται σε υπογραφές δεν μπορούν να αναγνωρίσουν την απειλή.
Controle πλήρης απάτη από απόσταση και σε πραγματικό χρόνο
Μόλις ενεργοποιηθεί, το Banana RAT παρέχει πλήρεις δυνατότητες απομακρυσμένης πρόσβασης. Ο χειριστής μπορεί να μεταδίδει την οθόνη του θύματος σε πραγματικό χρόνο μέσω ροής JPEG, με τις λήψεις να λειτουργούν με πολλαπλές οθόνες και να σέβονται τις ρυθμίσεις ανάλυσης. Το κακόβουλο λογισμικό εισάγει στοιχεία ελέγχου ποντικιού και πληκτρολογίου μέσω των Win32 API, επιτρέποντας στον χειριστή να παγώσει την είσοδο του θύματος χρησιμοποιώντας τη λειτουργία BlockInput ενώ χειρίζεται το μηχάνημα από απόσταση.
Ένα keylogger που βασίζεται στο GetAsyncKeyState καταγράφει όλες τις πληκτρολογήσεις σε ένα κυκλικό buffer 2 χιλιάδων καταχωρήσεων. Οι επικοινωνίες Todas μεταξύ πελάτη και διακομιστή χρησιμοποιούν κρυπτογράφηση AES-256-CBC, με το κλειδί να προέρχεται από ένα σταθερό κύριο κλειδί μέσω SHA-256. Ο πίνακας ανάλυσης διακομιστή των εισβολέων εμφανίζει λήψεις που παρακολουθούνται ανά χώρα, ώρα και λειτουργικό σύστημα — όλη η καταγεγραμμένη πρόσβαση προήλθε από το Brasil.
Η κύρια τεχνική απάτης χρησιμοποιεί επικάλυψη πλήρους οθόνης. Το Quando το θύμα ανοίγει τον ιστότοπο της τράπεζας, το κακόβουλο λογισμικό εμφανίζει ένα ψεύτικο μήνυμα ενημέρωσης ασφαλείας που λέει “Απαιτείται ενημέρωση Segurança. ΜΗΝ ΑΠΕΝΕΡΓΟΠΟΙΗΣΕΤΕ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΑΣ”. Η ψεύτικη οθόνη εμφανίζει κινούμενα σχέδια προόδου με τέσσερα προσομοιωμένα βήματα, ενώ ο χειριστής εκτελεί μη εξουσιοδοτημένες μεταφορές στην πραγματική τραπεζική περίοδο λειτουργίας που εκτελείται στο παρασκήνιο.
Subsistema αφιερωμένο στην υποκλοπή κωδικών Pix και QR
Το κακόβουλο λογισμικό υλοποιεί ένα συγκεκριμένο υποσύστημα για το Pix, χρησιμοποιώντας τη βιβλιοθήκη ZXing.NET για τον εντοπισμό και την αποκωδικοποίηση κωδικών QR στην οθόνη. Το Quando το θύμα προσπαθεί να πληρώσει έναν λογαριασμό μέσω QR, το κακόβουλο λογισμικό αντικαθιστά τα δεδομένα κώδικα. Τα χρήματα πηγαίνουν απευθείας στους λογαριασμούς των εγκληματιών. Η λειτουργικότητα Essa υπάρχει αποκλειστικά για την αγορά της Βραζιλίας, αφού ο στόχος είναι η τεχνολογία Pix, η οποία δεν υπάρχει σε άλλες χώρες.
Οι ερευνητές βρήκαν μια κωδικοποιημένη λίστα 16 στόχων απευθείας στον πηγαίο κώδικα του frontend. Τα Todos είναι βραζιλιάνικα χρηματοπιστωτικά ιδρύματα ή ανταλλακτήρια κρυπτονομισμάτων που βρίσκονται στην εθνική αγορά:
- Itaú
- Bradesco
- Santander Brasil
- Caixa
- Banco από Brasil
- Safra
- Banrisul
- Daycoval
- Sicoob
- Sicredi
Τεχνική Assinatura και συνεχής ανάπτυξη
Η ανάλυση της υποδομής αποκάλυψε σταθερά δακτυλικά αποτυπώματα. Ο κινητήρας πολυμορφισμού σφραγίζει κάθε ωφέλιμο φορτίο με την κεφαλίδα “PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)”. Το προκριματικό έκδοσης και ο αριθμός έκδοσης υποδηλώνουν μια σειρά προϊόντων που ενημερώνεται συνεχώς από τους προγραμματιστές.
Το Banana RAT μοιράζεται δυνατότητες με την οικογένεια τραπεζικών trojans της Βραζιλίας Tetrade, όπως τα Grandoreiro, Mekotio, Casbaneiro και CHAVECLOAK. Η τραπεζική επικάλυψη πλήρους οθόνης είναι η καθοριστική συμπεριφορά αυτής της οικογένειας κακόβουλου λογισμικού. Αλλά οι αρχιτεκτονικές διαφορές το διακρίνουν από τα υπόλοιπα: το Banana RAT είναι ένας πελάτης PowerShell που ενορχηστρώνεται από τον διακομιστή Python, ενώ τα άλλα μέλη της οικογένειας Tetrade ακολουθούν διαφορετικά πρότυπα.
Além Επιπλέον, το σύστημα πολυμορφισμού ανά θύμα υπερβαίνει αυτό που τεκμηριώνεται για άλλα μέλη της οικογένειας. Η υποδομή επίσης δεν αλληλεπικαλύπτεται με τους δημοσιευμένους δείκτες του Grandoreiro τη στιγμή της ανάλυσης, υποδηλώνοντας ότι οι χειριστές χρησιμοποίησαν νέες τεχνικές φοροδιαφυγής που δεν είχαν τεκμηριωθεί προηγουμένως από την κοινότητα ασφαλείας.
Το Federação Brasileira του Bancos έχει ήδη λάβει πληροφορίες που κοινοποιήθηκαν από την TrendMicro για την προστασία ιδρυμάτων και πελατών από αυτήν την αυξανόμενη απειλή.