Исследователи TrendMicro обнаружили в апреле 2026 года сложную вредоносную кампанию, разработанную бразильцами против финансовых учреждений страны. Банковский троян под названием Banana RAT отслеживался под кодом SHADOW-WATER-063 и специально нацелен на 16 национальных банков и криптовалютных бирж, используя передовые методы заражения и мошенничества в реальном времени.
Анализ выявил сложную архитектуру, которая начинается с вредоносного файла, замаскированного под электронный налоговый документ, распространяемого через WhatsApp и фишинговые ссылки. Операторы особенно нацелены на корпоративных пользователей, знакомых с бразильской системой электронного выставления счетов, используя такие имена, как «Consultar_NF-e.bat», чтобы замаскировать угрозу.
Шестиступенчатая цепочка заражения
Процесс заражения протекает по четко структурированному течению. Когда жертва запускает файл .bat, немедленно запускается скрытая команда PowerShell. Эта команда загружает второй шаг под названием «msedge.txt» с удаленного сервера, сохраняя весь выполняемый код в энергозависимой памяти (ОЗУ) системы, не затрагивая хранилище в незашифрованном виде.
Инфраструктура, поддерживаемая операторами, сложна. В качестве основы они используют серверы FastAPI с девятью уровнями обфускации в каждой полезной нагрузке. Система поддерживает пул из 100–200 уникальных предварительно сгенерированных сборок, и каждый запрос от жертвы использует отдельный файл.
Это означает, что каждая загрузка имеет уникальный хэш. Традиционные методы обнаружения сигнатур полностью проваливают эту стратегию. В ходе анализа исследователи обнаружили четыре параллельных потока, постоянно генерирующих новые полезные данные, чтобы поддерживать заполненность пула, гарантируя, что антивирусы на основе сигнатур не смогут идентифицировать угрозу.
Полный удаленный контроль и мошенничество в реальном времени
После активации Banana RAT предоставляет полные возможности удаленного доступа. Оператор может передавать экран жертвы в режиме реального времени посредством потоковой передачи JPEG, при этом снимки работают на нескольких мониторах и с соблюдением настроек разрешения. Вредоносная программа внедряет элементы управления мышью и клавиатурой через Win32 API, позволяя оператору блокировать ввод жертвы с помощью функции BlockInput во время удаленного управления машиной.
Кейлоггер на основе GetAsyncKeyState фиксирует все нажатия клавиш в кольцевом буфере на 2 тысячи записей. Все коммуникации между клиентом и сервером используют шифрование AES-256-CBC, при этом ключ получается из фиксированного главного ключа через SHA-256. Панель аналитики сервера злоумышленников показывает загрузки, отслеживаемые по стране, времени и операционной системе — все зарегистрированные доступы происходили из Бразилии.
Основной метод мошенничества использует полноэкранное наложение. Когда жертва открывает веб-сайт банка, вредоносная программа отображает поддельное сообщение об обновлении безопасности с надписью «Требуется обновление безопасности. НЕ ВЫКЛЮЧАЙТЕ СВОЙ КОМПЬЮТЕР». Фальшивый экран показывает анимацию прогресса с четырьмя смоделированными шагами, в то время как оператор выполняет несанкционированные переводы в реальном банковском сеансе, работающем в фоновом режиме.
Выделенная подсистема для перехвата Pix и QR-кодов
Вредоносная программа реализует специальную подсистему для Pix, используя библиотеку ZXing.NET для обнаружения и декодирования QR-кодов на экране. Когда жертва пытается оплатить счет через QR, вредоносная программа подменяет данные кода. Деньги поступают напрямую на счета преступников. Эта функциональность существует исключительно для бразильского рынка, поскольку целью является технология Pix, которой нет в других странах.
Исследователи обнаружили жестко закодированный список из 16 целей непосредственно в исходном коде интерфейса. Все они являются бразильскими финансовыми учреждениями или криптовалютными биржами, расположенными для национального рынка:
- Итау
- Брадеско
- Сантандер Бразилия
- Коробка
- Банк Бразилии
- Урожай
- Банрисул
- Дайковаль
- Сикуб
- Сикреди
Техническая подпись и постоянное развитие
Анализ инфраструктуры выявил последовательные отпечатки пальцев. Механизм полиморфизма помечает каждую полезную нагрузку заголовком «ЗАЩИЩЕННЫЙ СЦЕНАРИЙ v4.0. Project Banana (MSEDGE EDITION)». Спецификатор выпуска и номер версии указывают на линейку продуктов, которая постоянно обновляется разработчиками.
Banana RAT имеет те же возможности, что и семейство бразильских банковских троянов Tetrade, таких как Grandoreiro, Mekotio, Casbaneiro и CHAVECLOAK. Полноэкранное банковское наложение — определяющая особенность этого семейства вредоносных программ. Но архитектурные различия отличают его от остальных: Banana RAT — это клиент PowerShell, управляемый сервером Python, в то время как другие члены семейства Tetrade следуют другим стандартам.
Более того, система полиморфизма на одну жертву превышает зарегистрированную для других членов семьи. Инфраструктура также не совпадает с опубликованными показателями для Грандорейро на момент анализа, что позволяет предположить, что операторы использовали новые методы уклонения, ранее не задокументированные сообществом безопасности.
Бразильская федерация банков уже получила разведывательные данные, предоставленные TrendMicro для защиты учреждений и клиентов от этой растущей угрозы.