Banana RAT: вірус краде дані з 16 банків

Pesquisadores від TrendMicro виявив у квітні 2026 року складну кампанію зловмисного програмного забезпечення, розроблену бразильцями проти фінансових установ країни. Банківський троян під назвою Banana RAT відстежувався під кодом SHADOW-WATER-063 і націлений на 16 національних банків і криптовалютних бірж, використовуючи передові методи зараження в реальному часі та шахрайства.

Аналіз виявив складну архітектуру, яка починається зі шкідливого файлу, замаскованого під електронний податковий документ, який поширюється через WhatsApp і фішингові посилання. Оператори особливо націлені на корпоративних користувачів, знайомих із бразильською системою електронного виставлення рахунків, використовуючи такі назви, як “Consultar_NF-e.bat”, щоб замаскувати загрозу.

Шестиступенева інфекція Cadeia

Інфекційний процес протікає чітко структуровано. Quando жертва виконує файл .bat, негайно запускається прихована команда PowerShell. Команда Esse завантажує другий крок під назвою “msedge.txt” із віддаленого сервера, зберігаючи весь запущений код у енергонезалежній пам’яті системи (RAM), не торкаючись сховища в незашифрованому вигляді.

Інфраструктура, яку обслуговують оператори, є складною. Сервери FastAPI на основі Utilizam із дев’ятьма рівнями обфускації в кожному корисному навантаженні. Система підтримує пул із 100–200 унікальних попередньо згенерованих збірок, і кожен запит від жертви споживає окремий файл.

Isso означає, що кожне завантаження має унікальний хеш. Традиційне виявлення сигнатур Técnicas повністю провалює цю стратегію. Аналіз Durante дослідники виявили, що чотири паралельні потоки постійно генерують нові корисні навантаження, щоб підтримувати пул заповненим, гарантуючи, що антивіруси на основі сигнатур не зможуть ідентифікувати загрозу.

Controle повне віддалене шахрайство та шахрайство в реальному часі

Після активації Banana RAT надає повні можливості віддаленого доступу. Оператор може передавати екран жертви в режимі реального часу через потокове передавання у форматі JPEG, при цьому знімки працюють на кількох моніторах із дотриманням налаштувань роздільної здатності. Зловмисне програмне забезпечення впроваджує елементи керування мишкою та клавіатурою через Win32 API, дозволяючи оператору заморозити введення жертви за допомогою функції BlockInput під час віддаленого керування машиною.

Кейлоггер на основі GetAsyncKeyState фіксує всі натискання клавіш у циклічному буфері з 2 тисяч записів. Зв’язок Todas між клієнтом і сервером використовує шифрування AES-256-CBC з ключем, отриманим із фіксованого головного ключа через SHA-256. Панель аналітики сервера зловмисників показує завантаження, відстежені за країною, часом і операційною системою — усі зареєстровані доступи надійшли з Brasil.

Основна техніка шахрайства використовує повноекранне накладання. Quando: жертва відкриває банківський веб-сайт, зловмисне програмне забезпечення відображає підроблене повідомлення про оновлення системи безпеки, яке говорить: «Потрібне оновлення Segurança. НЕ ВИМИКАЙТЕ КОМП’ЮТЕР». Фальшивий екран показує анімацію прогресу з чотирма змодельованими кроками, у той час як оператор виконує неавторизовані перекази під час реального банківського сеансу, що працює у фоновому режимі.

Leia Tambem

Sony підтверджує видалення Red Dead Redemption і п’яти ігор із PS Plus Extra та Deluxe у червні

Продюсер призначив нову дату виходу Grand Theft Auto VI на листопад 2026 року

Майбутній iPhone 18 Pro матиме напівпрозору задню частину та приховану фотолінзу в дисплеї

Subsistema призначений для Pix і перехоплення QR-коду

Зловмисне програмне забезпечення реалізує спеціальну підсистему для Pix, використовуючи бібліотеку ZXing.NET для виявлення та декодування QR-кодів на екрані. Quando жертва намагається оплатити рахунок через QR, шкідлива програма замінює дані коду. Гроші потрапляють безпосередньо на рахунки зловмисників. Функціональність Essa існує виключно для бразильського ринку, оскільки метою є технологія Pix, якої немає в інших країнах.

Дослідники знайшли жорстко закодований список із 16 цілей безпосередньо у вихідному коді інтерфейсу. Todos — це бразильські фінансові установи або біржі криптовалют, розташовані для національного ринку:

• Itaú
• Bradesco
• Santander Brasil
• Caixa
• Banco від Brasil
• Safra
• Banrisul
• Daycoval
• Sicoob
• Sicredi

Техніка Assinatura і постійний розвиток

Аналіз інфраструктури виявив узгоджені відбитки пальців. Механізм поліморфізму позначає кожне корисне навантаження заголовком «PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)». Класифікатор видання та номер версії вказують на лінійку продуктів, яка постійно оновлюється розробниками.

Banana RAT має спільні можливості з сімейством бразильських банківських троянів Tetrade, таких як Grandoreiro, Mekotio, Casbaneiro і CHAVECLOAK. Повноекранне банківське накладання є визначальною поведінкою цього сімейства шкідливих програм. Але архітектурні відмінності відрізняють його від інших: Banana RAT — це клієнт PowerShell, керований сервером Python, тоді як інші члени сімейства Tetrade дотримуються інших стандартів.

Além Крім того, система поліморфізму на жертву перевищує задокументовану для інших членів родини. Інфраструктура також не збігається з опублікованими показниками Grandoreiro на момент аналізу, що свідчить про те, що оператори використовували нові методи ухилення, раніше не задокументовані спільнотою безпеки.

Federação Brasileira з Bancos вже отримав розвідувальну інформацію від TrendMicro для захисту установ і клієнтів від цієї зростаючої загрози.