นักวิจัยของ TrendMicro ค้นพบในเดือนเมษายน 2026 แคมเปญมัลแวร์ที่ซับซ้อนที่พัฒนาโดยชาวบราซิลเพื่อต่อต้านสถาบันการเงินในประเทศ โทรจันธนาคารที่เรียกว่า Banana RAT ถูกติดตามภายใต้รหัส SHADOW-WATER-063 และกำหนดเป้าหมายเฉพาะธนาคารระดับชาติ 16 แห่งและการแลกเปลี่ยนสกุลเงินดิจิทัล โดยใช้เทคนิคการติดเชื้อแบบเรียลไทม์และการฉ้อโกงขั้นสูง
การวิเคราะห์เผยให้เห็นสถาปัตยกรรมที่ซับซ้อนที่เริ่มต้นด้วยไฟล์ที่เป็นอันตรายซึ่งปลอมตัวเป็นเอกสารภาษีอิเล็กทรอนิกส์ที่เผยแพร่ผ่าน WhatsApp และลิงก์ฟิชชิ่ง ผู้ประกอบการกำหนดเป้าหมายผู้ใช้องค์กรที่คุ้นเคยกับระบบการออกใบแจ้งหนี้อิเล็กทรอนิกส์ของบราซิลโดยเฉพาะ โดยใช้ชื่อเช่น “Consultar_NF-e.bat” เพื่ออำพรางภัยคุกคาม
ห่วงโซ่การติดเชื้อหกขั้นตอน
กระบวนการติดเชื้อเป็นไปตามการไหลที่มีโครงสร้างที่ดี เมื่อเหยื่อเรียกใช้ไฟล์ .bat คำสั่ง PowerShell ที่ซ่อนอยู่จะเริ่มทำงานทันที คำสั่งนี้จะดาวน์โหลดขั้นตอนที่สองที่เรียกว่า “msedge.txt” จากเซิร์ฟเวอร์ระยะไกล ทำให้โค้ดทั้งหมดทำงานในหน่วยความจำชั่วคราว (RAM) ของระบบโดยไม่ต้องแตะพื้นที่จัดเก็บข้อมูลในรูปแบบที่ไม่ได้เข้ารหัส
โครงสร้างพื้นฐานที่ดูแลโดยผู้ปฏิบัติงานมีความซับซ้อน พวกเขาใช้เซิร์ฟเวอร์ FastAPI เป็นฐานที่มีการปกปิดเก้าชั้นในแต่ละเพย์โหลด ระบบจะรักษาพูลของบิลด์ที่สร้างไว้ล่วงหน้าที่ไม่ซ้ำกัน 100 ถึง 200 รายการ และคำขอแต่ละรายการจากเหยื่อจะใช้ไฟล์ที่แตกต่างกัน
ซึ่งหมายความว่าการดาวน์โหลดแต่ละครั้งจะมีแฮชที่ไม่ซ้ำกัน เทคนิคการตรวจจับลายเซ็นแบบดั้งเดิมล้มเหลวโดยสิ้นเชิงกับกลยุทธ์นี้ ในระหว่างการวิเคราะห์ นักวิจัยพบว่าเธรดคู่ขนานสี่เธรดสร้างเพย์โหลดใหม่อย่างต่อเนื่องเพื่อรักษาพูลให้เต็ม ทำให้มั่นใจได้ว่าโปรแกรมป้องกันไวรัสที่ใช้ลายเซ็นไม่สามารถระบุภัยคุกคามได้
การควบคุมระยะไกลเต็มรูปแบบและการฉ้อโกงแบบเรียลไทม์
เมื่อเปิดใช้งานแล้ว Banana RAT จะมอบความสามารถในการเข้าถึงระยะไกลเต็มรูปแบบ ผู้ปฏิบัติงานสามารถส่งหน้าจอของเหยื่อแบบเรียลไทม์ผ่านการสตรีม JPEG โดยการบันทึกจะทำงานร่วมกับจอภาพหลายจอและคำนึงถึงการตั้งค่าความละเอียด มัลแวร์แทรกการควบคุมเมาส์และคีย์บอร์ดผ่าน Win32 API ทำให้ผู้ปฏิบัติงานสามารถหยุดอินพุตของเหยื่อได้โดยใช้ฟังก์ชัน BlockInput ในขณะที่ควบคุมเครื่องจากระยะไกล
คีย์ล็อกเกอร์ที่ใช้ GetAsyncKeyState จะบันทึกการกดแป้นพิมพ์ทั้งหมดในบัฟเฟอร์แบบวงกลมจำนวน 2,000 รายการ การสื่อสารทั้งหมดระหว่างไคลเอนต์และเซิร์ฟเวอร์ใช้การเข้ารหัส AES-256-CBC โดยมีคีย์ที่ได้มาจากคีย์หลักคงที่ผ่าน SHA-256 แผงการวิเคราะห์เซิร์ฟเวอร์ของผู้โจมตีจะแสดงการดาวน์โหลดที่ติดตามตามประเทศ เวลา และระบบปฏิบัติการ — การเข้าถึงที่บันทึกไว้ทั้งหมดมาจากบราซิล
เทคนิคการหลอกลวงหลักใช้การซ้อนทับแบบเต็มหน้าจอ เมื่อเหยื่อเปิดเว็บไซต์ธนาคาร มัลแวร์จะแสดงข้อความอัปเดตความปลอดภัยปลอมที่ระบุว่า “จำเป็นต้องมีการอัปเดตความปลอดภัย อย่าปิดคอมพิวเตอร์ของคุณ” หน้าจอปลอมจะแสดงภาพเคลื่อนไหวความคืบหน้าพร้อมจำลองสี่ขั้นตอน ในขณะที่ผู้ปฏิบัติงานดำเนินการโอนเงินโดยไม่ได้รับอนุญาตในเซสชันการธนาคารจริงที่ทำงานอยู่เบื้องหลัง
ระบบย่อยเฉพาะสำหรับการสกัดกั้น Pix และ QR code
มัลแวร์ใช้ระบบย่อยเฉพาะสำหรับ Pix โดยใช้ไลบรารี ZXing.NET เพื่อตรวจจับและถอดรหัสรหัส QR บนหน้าจอ เมื่อเหยื่อพยายามชำระเงินผ่าน QR มัลแวร์จะเข้ามาแทนที่ข้อมูลโค้ด เงินจะเข้าบัญชีของอาชญากรโดยตรง ฟังก์ชันนี้มีเฉพาะสำหรับตลาดบราซิลเท่านั้น เนื่องจากเป้าหมายคือเทคโนโลยี Pix ซึ่งไม่มีในประเทศอื่น
นักวิจัยพบรายการฮาร์ดโค้ดของเป้าหมาย 16 รายการโดยตรงในซอร์สโค้ดส่วนหน้า ทั้งหมดเป็นสถาบันการเงินของบราซิลหรือการแลกเปลี่ยนสกุลเงินดิจิตอลที่ตั้งอยู่ในตลาดระดับชาติ:
- อิเตา
- แบรเดสโก้
- ซานตานเดร์ บราซิล
- กล่อง
- ธนาคารแห่งบราซิล
- เก็บเกี่ยว
- บันริซอล
- เดย์โควาล
- ซิคูบ
- ซิเครดี
ลายเซ็นทางเทคนิคและการพัฒนาอย่างต่อเนื่อง
การวิเคราะห์โครงสร้างพื้นฐานเผยให้เห็นลายนิ้วมือที่สอดคล้องกัน เอ็นจิ้นความหลากหลายจะประทับตราแต่ละเพย์โหลดด้วยส่วนหัว “PROTECTED SCRIPT v4.0. Project Banana (MSEDGE EDITION)” ตัวระบุรุ่นและหมายเลขเวอร์ชันจะแนะนำกลุ่มผลิตภัณฑ์ที่นักพัฒนาอัปเดตอยู่ตลอดเวลา
Banana RAT แบ่งปันความสามารถกับตระกูล Tetrade ซึ่งเป็นโทรจันธนาคารของบราซิล เช่น Grandoreiro, Mekotio, Casbaneiro และ CHAVECLOAK การซ้อนทับธนาคารแบบเต็มหน้าจอคือพฤติกรรมที่กำหนดกลุ่มมัลแวร์นี้ แต่ความแตกต่างทางสถาปัตยกรรมทำให้มันแตกต่างจากที่อื่น: Banana RAT เป็นไคลเอ็นต์ PowerShell ที่ควบคุมโดยเซิร์ฟเวอร์ Python ในขณะที่สมาชิกคนอื่นๆ ในกลุ่ม Tetrade มีมาตรฐานที่แตกต่างกัน
นอกจากนี้ ระบบความหลากหลายต่อเหยื่อยังเกินกว่าที่บันทึกไว้สำหรับสมาชิกครอบครัวคนอื่นๆ โครงสร้างพื้นฐานยังไม่ทับซ้อนกับตัวบ่งชี้ที่เผยแพร่สำหรับ Grandoreiro ในขณะที่ทำการวิเคราะห์ โดยแนะนำว่าผู้ปฏิบัติงานใช้เทคนิคการหลีกเลี่ยงแบบใหม่ที่ชุมชนความปลอดภัยไม่ได้จัดทำเอกสารไว้ก่อนหน้านี้
สหพันธ์ธนาคารแห่งบราซิลได้รับข้อมูลข่าวกรองจาก TrendMicro เพื่อปกป้องสถาบันและลูกค้าจากภัยคุกคามที่เพิ่มมากขึ้นนี้