Pesquisadores на TrendMicro откри през април 2026 г. сложна кампания за зловреден софтуер, разработена от бразилци срещу финансовите институции в страната. Банковият троянски кон, наречен Banana RAT, е проследен под код SHADOW-WATER-063 и е насочен конкретно към 16 национални банки и борси за криптовалута, използвайки усъвършенствани техники за заразяване в реално време и измами.
Анализът разкрива сложна архитектура, която започва със злонамерен файл, маскиран като електронен данъчен документ, разпространяван чрез WhatsApp и фишинг връзки. Операторите се насочват особено към корпоративни потребители, запознати с бразилската система за електронно фактуриране, като използват имена като „Consultar_NF-e.bat“, за да маскират заплахата.
Cadeia инфекция в шест стъпки
Процесът на заразяване следва добре структуриран поток. Quando жертвата изпълнява .bat файла, веднага се задейства скрита команда на PowerShell. Командата Esse изтегля втора стъпка, наречена “msedge.txt” от отдалечен сървър, като поддържа целия код, работещ в летливата памет (RAM) на системата, без да докосва хранилището в некриптирана форма.
Инфраструктурата, поддържана от операторите, е сложна. Utilizam базирани FastAPI сървъри с девет слоя на обфускация във всеки полезен товар. Системата поддържа набор от 100 до 200 уникални предварително генерирани компилации и всяка заявка от жертва консумира различен файл.
Isso означава, че всяко изтегляне има уникален хеш. Técnicas традиционното откриване на сигнатура напълно проваля тази стратегия. Анализ на Durante, изследователите откриха четири паралелни нишки, които постоянно генерират нови полезни натоварвания, за да поддържат пула пълен, като гарантират, че базираните на сигнатури антивируси не могат да идентифицират заплахата.
Controle пълна дистанционна измама и измама в реално време
Веднъж активиран, Banana RAT предоставя пълни възможности за отдалечен достъп. Операторът е в състояние да предава екрана на жертвата в реално време чрез JPEG стрийминг, като заснеманията работят с множество монитори и зачитат настройките за разделителна способност. Зловреден софтуер инжектира контроли на мишката и клавиатурата чрез Win32 API, позволявайки на оператора да замрази въвеждането на жертвата с помощта на функцията BlockInput, докато управлява машината от разстояние.
Keylogger, базиран на GetAsyncKeyState, улавя всички натискания на клавиши в кръгъл буфер от 2 хиляди записа. Todas комуникациите между клиент и сървър използват криптиране AES-256-CBC, като ключът се извлича от фиксиран главен ключ чрез SHA-256. Панелът за анализ на сървъра на нападателите показва изтегляния, проследени по държава, време и операционна система — целият записан достъп идва от Brasil.
Основната техника на измама използва наслагване на цял екран. Quando жертвата отваря банковия уебсайт, злонамереният софтуер показва фалшиво съобщение за актуализация на сигурността, което гласи „Необходима е актуализация на Segurança. НЕ ИЗКЛЮЧВАЙТЕ КОМПЮТЪРА СИ“. Фалшивият екран показва анимация на напредъка с четири симулирани стъпки, докато операторът извършва неразрешени преводи в реалната банкова сесия, която се изпълнява във фонов режим.
Subsistema, посветен на Pix и прихващане на QR код
Зловреден софтуер внедрява специфична подсистема за Pix, използвайки библиотеката ZXing.NET за откриване и декодиране на QR кодове на екрана. Quando жертвата се опитва да плати сметка чрез QR, зловредният софтуер замества кодовите данни. Парите отиват директно в сметките на престъпниците. Функционалността Essa съществува изключително за бразилския пазар, тъй като целта е технологията Pix, която не присъства в други страни.
Изследователите откриха твърдо кодиран списък от 16 цели директно в изходния код на интерфейса. Todos са бразилски финансови институции или борси за криптовалута, разположени за националния пазар:
- Itaú
- Bradesco
- Santander Brasil
- Caixa
- Banco от Brasil
- Safra
- Banrisul
- Daycoval
- Sicoob
- Sicredi
Assinatura техника и непрекъснато развитие
Анализът на инфраструктурата разкри последователни пръстови отпечатъци. Механизмът за полиморфизъм маркира всеки полезен товар със заглавието “PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)”. Квалификаторът на изданието и номерът на версията предполагат продуктова линия, която непрекъснато се актуализира от разработчиците.
Banana RAT споделя възможности с Tetrade семейството на бразилските банкови троянски коне, като Grandoreiro, Mekotio, Casbaneiro и CHAVECLOAK. Банковото наслагване на цял екран е определящото поведение на това семейство зловреден софтуер. Но архитектурните разлики го отличават от останалите: Banana RAT е клиент на PowerShell, управляван от сървъра Python, докато другите членове на семейството Tetrade следват различни стандарти.
Além Освен това полиморфната система на жертва надвишава тази, документирана за други членове на семейството. Инфраструктурата също така не се припокрива с публикуваните индикатори на Grandoreiro по време на анализа, което предполага, че операторите са използвали нови техники за избягване, които преди това не са документирани от общността за сигурност.
Federação Brasileira на Bancos вече получи информация, споделена от TrendMicro, за защита на институции и клиенти срещу тази нарастваща заплаха.