Banana RAT: فيروس يسرق البيانات من 16 بنكًا

Virus

Virus - krungchingpixs/ shutterstock.com

اكتشف باحثو TrendMicro في أبريل 2026 حملة برمجيات خبيثة متطورة طورها برازيليون ضد المؤسسات المالية في البلاد. تم تعقب حصان طروادة المصرفي المسمى Banana RAT تحت الرمز SHADOW-WATER-063 ويستهدف على وجه التحديد 16 بنكًا وطنيًا وبورصة عملات مشفرة باستخدام تقنيات العدوى والاحتيال المتقدمة في الوقت الفعلي.

وكشف التحليل عن بنية معقدة تبدأ بملف ضار متنكر في شكل مستند ضريبي إلكتروني يتم توزيعه عبر تطبيق WhatsApp وروابط التصيد الاحتيالي. يستهدف المشغلون بشكل خاص مستخدمي الشركات المطلعين على نظام الفواتير الإلكترونية البرازيلي، باستخدام أسماء مثل “Consultar_NF-e.bat” لتمويه التهديد.

سلسلة العدوى المكونة من ست خطوات

تتبع عملية العدوى تدفقًا منظمًا بشكل جيد. عندما يقوم الضحية بتشغيل ملف .bat، يتم إطلاق أمر PowerShell المخفي على الفور. يقوم هذا الأمر بتنزيل خطوة ثانية تسمى “msedge.txt” من خادم بعيد، مع الاحتفاظ بجميع التعليمات البرمجية قيد التشغيل في الذاكرة المتطايرة للنظام (RAM) دون لمس وحدة التخزين في نموذج غير مشفر.

البنية التحتية التي يحتفظ بها المشغلون متطورة. يستخدمون خوادم FastAPI كقاعدة تحتوي على تسع طبقات من التشويش في كل حمولة. يحتفظ النظام بمجموعة من 100 إلى 200 نسخة فريدة تم إنشاؤها مسبقًا، وكل طلب من الضحية يستهلك ملفًا مختلفًا.

مارسيلو كامارغو/ وكالة البرازيل

وهذا يعني أن كل تنزيل له تجزئة فريدة. تقنيات الكشف عن التوقيع التقليدية تفشل تماما في هذه الاستراتيجية. أثناء التحليل، وجد الباحثون أربعة سلاسل متوازية تولد باستمرار حمولات جديدة لإبقاء المجموعة ممتلئة، مما يضمن عدم قدرة برامج مكافحة الفيروسات القائمة على التوقيع على تحديد التهديد.

التحكم الكامل عن بعد والاحتيال في الوقت الحقيقي

بمجرد تنشيطه، يوفر Banana RAT إمكانات الوصول عن بعد الكاملة. يستطيع المشغل نقل شاشة الضحية في الوقت الفعلي عبر تدفق JPEG، مع عمل اللقطات مع شاشات متعددة واحترام إعدادات الدقة. تقوم البرمجيات الخبيثة بإدخال عناصر التحكم في الماوس ولوحة المفاتيح من خلال Win32 APIs، مما يسمح للمشغل بتجميد إدخال الضحية باستخدام وظيفة BlockInput أثناء تشغيل الجهاز عن بعد.

يلتقط برنامج Keylogger المستند إلى GetAsyncKeyState جميع ضغطات المفاتيح في مخزن مؤقت دائري يتكون من ألفي إدخال. تستخدم جميع الاتصالات بين العميل والخادم تشفير AES-256-CBC، حيث يشتق المفتاح من مفتاح رئيسي ثابت عبر SHA-256. تعرض لوحة تحليلات خادم المهاجمين التنزيلات التي تم تتبعها حسب البلد والوقت ونظام التشغيل، وجميع عمليات الوصول المسجلة جاءت من البرازيل.

انظر أيضاً
  1. Macará x Alianza Atlético لصالح CONMEBOL Sudamericana مع الريادة في اللعبة
  2. استبعاد فيل فودين من كأس العالم وتوماس توخيل يبرر اختيار إنجلترا
  3. تخفض شركة Sony سعر وحدة تحكم PlayStation 5 DualSense Edge لجذب لاعبين جدد في عام 2026
  4. تطلق الشركة المصنعة أوبو جهاز Pad 6 اللوحي بشاشة 3K ويتميز بشاشة مغناطيسية للكاميرات الخلفية
  5. تطلق Rockstar Games Action لعبة Grand Theft Auto V مجانًا لمدة 48 ساعة للترويج لإطلاق GTA VI
  6. تختبر Microsoft خطط Game Pass الجديدة مع قيود ساعات العمل في السحابة وشراكة غير مسبوقة
  7. تطلق Nintendo لعبة Pokémon Champions for Switch مع التركيز الكامل على البطولات والمعارك عبر الإنترنت
  8. وصلت Huawei Watch Fit 5 وإصدار Pro إلى السوق بشاشات فائقة السطوع وبطارية ممتدة
  9. يقوم المهندسون الفرنسيون بتطوير سيراميك أكثر مقاومة للتجمد بعشر مرات
  10. يقود كيمي أنتونيلي الفورمولا 1 في سن 19 عامًا، ويكشف والده عن شغفه الطبيعي بآيرتون سينا
  11. يخفض بائع التجزئة سعر جهاز MacBook Air M4 المزود بذاكرة سعة 16 جيجابايت إلى مستوى غير مسبوق في السوق
  12. يضيف الإصدار التجريبي الأول من iOS 26.6 من Apple تنبيه حظر جهات الاتصال وإطار عمل Blastdoor Maps الجديد

تستخدم تقنية الاحتيال الرئيسية تراكب ملء الشاشة. عندما يفتح الضحية موقع الويب المصرفي، تعرض البرامج الضارة رسالة تحديث أمان مزيفة تقول “يلزم تحديث الأمان. لا تقم بإيقاف تشغيل جهاز الكمبيوتر الخاص بك.” تعرض الشاشة المزيفة رسومًا متحركة للتقدم من خلال أربع خطوات محاكاة بينما يقوم المشغل بإجراء تحويلات غير مصرح بها في الجلسة المصرفية الحقيقية التي تعمل في الخلفية.

نظام فرعي مخصص لاعتراض رمز Pix وQR

تطبق البرامج الضارة نظامًا فرعيًا محددًا لـ Pix، باستخدام مكتبة ZXing.NET لاكتشاف وفك تشفير رموز QR على الشاشة. عندما يحاول الضحية دفع فاتورة عبر QR، تقوم البرامج الضارة باستبدال بيانات الرمز. تذهب الأموال مباشرة إلى حسابات المجرمين. تتوفر هذه الوظيفة حصريًا للسوق البرازيلية، نظرًا لأن الهدف هو تقنية Pix، وهي غير موجودة في بلدان أخرى.

وجد الباحثون قائمة مشفرة تضم 16 هدفًا مباشرةً في كود مصدر الواجهة الأمامية. جميعها مؤسسات مالية برازيلية أو بورصات عملات مشفرة موجودة في السوق الوطنية:

  • إيتاو
  • براديسكو
  • سانتاندر البرازيل
  • صندوق
  • بنك البرازيل
  • محصول
  • بانريسول
  • دايكوفال
  • سيكوب
  • سيكريدي

التوقيع الفني والتطوير المستمر

كشف تحليل البنية التحتية عن بصمات متسقة. يقوم محرك تعدد الأشكال بختم كل حمولة بالرأس “PROTECTED SCRIPT v4.0. Project Banana (MSEDGE EDITION)”. يشير مؤهل الإصدار ورقم الإصدار إلى خط إنتاج يتم تحديثه باستمرار بواسطة المطورين.

تتشارك Banana RAT في قدراتها مع عائلة Tetrade من أحصنة طروادة المصرفية البرازيلية، مثل Grandoreiro وMekotio وCasbaneiro وCHAVECLOAK. يعد تراكب الخدمات المصرفية بملء الشاشة هو السلوك المميز لعائلة البرامج الضارة هذه. لكن الاختلافات المعمارية تميزه عن الباقي: Banana RAT هو عميل PowerShell مُدار بواسطة خادم Python، بينما يتبع الأعضاء الآخرون في عائلة Tetrade معايير مختلفة.

علاوة على ذلك، فإن نظام تعدد الأشكال لكل ضحية يتجاوز النظام الموثق بالنسبة لأفراد الأسرة الآخرين. ولا تتداخل البنية التحتية أيضًا مع المؤشرات المنشورة لـ Grandoreiro في وقت التحليل، مما يشير إلى أن المشغلين استخدموا تقنيات تهرب جديدة لم يتم توثيقها مسبقًا من قبل المجتمع الأمني.

وقد تلقى اتحاد البنوك البرازيلي بالفعل معلومات استخباراتية شاركتها شركة TrendMicro لحماية المؤسسات والعملاء من هذا التهديد المتزايد.

Tags: أحصنة طروادة الماليةالأمن المصرفيالبرمجيات الخبيثة البرازيلالجرائم الإلكترونيةالفئران الموزتريند مايكرو
انظر أيضاً
  1. أورلاندو ماجيك ينهي تعيين مساعد مدرب سان أنطونيو سبيرز شون سويني كمدرب جديد
  2. طائرة بدون طيار تضرب مبنى سكنيا في رومانيا وتصيب شخصين وتثير إدانة أوروبية
  3. تحتفظ Apple بتنسيق Dynamic Island في iPhone 18 Pro بسبب حواجز الشاشة الفنية
  4. توفي برايان بيرجوجنوكس، لاعب خط وسط ليون البطل السابق ثلاث مرات، عن عمر يناهز 43 عامًا بعد مرض مفاجئ
  5. فوربس تضع ريال مدريد في صدارة الأندية الأكثر قيمة في العالم لعام 2026
  6. الرئيس بوتين ينفي وجود تهديدات لأوروبا بعد تحطم طائرة بدون طيار في رومانيا؛ تقترح موسكو الأصل الأوكراني
  7. توفي برايان بيرجوجنوكس عن عمر يناهز 43 عامًا بسبب مرض مفاجئ قبل البطولة في فرنسا
  8. القمر الصناعي ناسا والمركز الوطني الفرنسي للدراسات الفضائية يرصد موجات بارتفاع 19.7 مترًا في شمال المحيط الهادئ عام 2024 وهو رقم قياسي للمحيطات في البحر المفتوح
  9. Samsung Galaxy: يتطلب One UI 9 كلمة مرور لإيقاف تشغيل الجهاز وتعزيز الأمان في الإصدار التجريبي
  10. كشف التعداد السكاني أن عدد سكان اليابان انخفض بنسبة 2.5%، مما أدى إلى خسارة 3 ملايين نسمة في خمس سنوات
  11. جوزيه مورينيو يؤكد عودته إلى ريال مدريد: المدرب البرتغالي يوقع العقد، بحسب الصحيفة
  12. Prime Video يكشف عن الأفلام والمسلسلات لشهر يونيو 2026، بما في ذلك Todo Mundo em Pânico وFive Nights at Freddy’s 2
  13. جواو فونسيكا يهزم ديوكوفيتش اليوم في الجولة الثالثة لبطولة رولان جاروس في فيليب شاترييه
  14. ناسا تعلن عن 3 بعثات روبوتية إلى القمر في عام 2026 للبدء في بناء قاعدة دائمة
  15. يقول أرتيتا إن أرسنال يسعى للحصول على لقب غير مسبوق لدوري أبطال أوروبا بطموح أكبر بعد الدوري الإنجليزي الممتاز
  16. قد يغيب نيمار عن منتخب البرازيل في أول مشاركة له في كأس العالم 2026 بسبب الإصابة
  17. تضاعف شركة Royal Enfield متاجرها وتستثمر VOGE 10 ملايين دولار أمريكي في التوسع في سوق الدراجات النارية متوسطة الحجم البرازيلي
  18. JamesStation 2 Portable: يقوم مستخدم YouTube بإعادة إنشاء PS2 Slim ويحقق عمر بطارية يصل إلى 5 ساعات متجاوزًا Steam Deck
  19. تسلط Infinity Ward الضوء على التطور السلس للعبة Call of Duty: Modern Warfare 4 على Nintendo Switch 2
  20. حاول سبيلبرغ: توم هانكس يرفض النسخة الجديدة من الفيلم الكلاسيكي هارفي عام 1950 لأنه يعتبرها خالية من العيوب
  21. تحتفظ NASCAR بغرامة قدرها 50 ألف دولار و25 نقطة لريان بريس بعد استئناف البيانات
  22. سيصل تقاعد Microsoft من Office 2019 إلى أجهزة Mac وiPhone في يوليو 2026
  23. يظهر كريستيانو رونالدو مع أطفاله في موقع جورجينا رودريجيز عشية كأس العالم
  24. فيراري لوس تتسبب في انخفاض سعر سهمها بمقدار 3 مليارات دولار أمريكي؛ البابا ليو الرابع عشر يشكك في تصميم الترام
  25. أطلقت شركة Acer جهاز Aspire Go 15، وهو أول جهاز كمبيوتر محمول مزود بـ Snapdragon C، سعياً لمنافسة MacBook Neo