Pesquisadores di TrendMicro ha scoperto nell’aprile 2026 una sofisticata campagna malware sviluppata dai brasiliani contro le istituzioni finanziarie del paese. Il trojan bancario denominato Banana RAT è stato tracciato con il codice SHADOW-WATER-063 e prende di mira specificamente 16 banche nazionali e scambi di criptovaluta utilizzando tecniche avanzate di infezione e frode in tempo reale.
L’analisi ha rivelato un’architettura complessa che parte da un file dannoso mascherato da documento fiscale elettronico distribuito tramite WhatsApp e collegamenti di phishing. Gli operatori prendono di mira soprattutto gli utenti aziendali che hanno familiarità con il sistema di fatturazione elettronica brasiliano, utilizzando nomi come “Consultar_NF-e.bat” per camuffare la minaccia.
Infezione in sei passaggi Cadeia
Il processo di infezione segue un flusso ben strutturato. Quando la vittima esegue il file .bat, viene immediatamente attivato un comando nascosto di PowerShell. Il comando Esse scarica un secondo passaggio chiamato “msedge.txt” da un server remoto, mantenendo tutto il codice in esecuzione nella memoria volatile del sistema (RAM) senza toccare l’archivio in una forma non crittografata.
L’infrastruttura gestita dagli operatori è sofisticata. Server FastAPI basati su Utilizam con nove livelli di offuscamento in ciascun payload. Il sistema mantiene un pool di 100-200 build pregenerate univoche e ogni richiesta di una vittima utilizza un file diverso.
Isso significa che ogni download ha un hash univoco. Il rilevamento tradizionale della firma Técnicas fallisce completamente questa strategia. Dall’analisi Durante, i ricercatori hanno scoperto che quattro thread paralleli generano costantemente nuovi payload per mantenere il pool pieno, garantendo che gli antivirus basati su firma non possano identificare la minaccia.
Controle frode completamente remota e in tempo reale
Una volta attivo, Banana RAT offre funzionalità complete di accesso remoto. L’operatore è in grado di trasmettere lo schermo della vittima in tempo reale tramite streaming JPEG, con le acquisizioni che funzionano con più monitor e rispettando le impostazioni di risoluzione. Il malware inserisce i controlli del mouse e della tastiera tramite API Win32, consentendo all’operatore di bloccare l’input della vittima utilizzando la funzione BlockInput mentre utilizza la macchina da remoto.
Un keylogger basato su GetAsyncKeyState cattura tutte le sequenze di tasti in un buffer circolare di 2mila voci. Le comunicazioni Todas tra client e server utilizzano la crittografia AES-256-CBC, con la chiave derivante da una chiave master fissa tramite SHA-256. Il pannello di analisi del server degli aggressori mostra i download tracciati per paese, ora e sistema operativo: tutti gli accessi registrati provenivano da Brasil.
La tecnica di truffa principale utilizza la sovrapposizione a schermo intero. Quando la vittima apre il sito web della banca, il malware visualizza un falso messaggio di aggiornamento di sicurezza che dice “È richiesto l’aggiornamento Segurança. NON SPEGNERE IL COMPUTER”. Lo schermo finto mostra l’animazione dell’avanzamento con quattro passaggi simulati mentre l’operatore esegue trasferimenti non autorizzati nella sessione bancaria reale in esecuzione in background.
Subsistema dedicato all’intercettazione Pix e codice QR
Il malware implementa un sottosistema specifico per Pix, utilizzando la libreria ZXing.NET per rilevare e decodificare i codici QR sullo schermo. Quando la vittima tenta di pagare una fattura tramite QR, il malware sostituisce i dati del codice. Il denaro finisce direttamente sui conti dei criminali. La funzionalità Essa esiste esclusivamente per il mercato brasiliano, poiché l’obiettivo è la tecnologia Pix, che non è presente in altri paesi.
I ricercatori hanno trovato un elenco codificato di 16 obiettivi direttamente nel codice sorgente del frontend. Todos sono istituti finanziari brasiliani o scambi di criptovaluta situati per il mercato nazionale:
- Itaú
- Bradesco
- Santander Brasil
- Caixa
- Banco da Brasil
- Safra
- Banrisul
- Daycoval
- Sicoob
- Sicredi
Tecnica Assinatura e sviluppo continuo
L’analisi dell’infrastruttura ha rivelato impronte coerenti. Il motore del polimorfismo contrassegna ciascun payload con l’intestazione “PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)”. Il qualificatore di edizione e il numero di versione suggeriscono una linea di prodotti che viene costantemente aggiornata dagli sviluppatori.
Il RAT Banana condivide le funzionalità con la famiglia Tetrade di trojan bancari brasiliani, come Grandoreiro, Mekotio, Casbaneiro e CHAVECLOAK. L’overlay bancario a schermo intero è il comportamento distintivo di questa famiglia di malware. Ma le differenze architetturali lo distinguono dal resto: Banana RAT è un client PowerShell orchestrato dal server Python, mentre gli altri membri della famiglia Tetrade seguono standard diversi.
Além Inoltre, il sistema di polimorfismo per vittima supera quello documentato per gli altri membri della famiglia. Inoltre, l’infrastruttura non si sovrappone agli indicatori pubblicati di Grandoreiro al momento dell’analisi, suggerendo che gli operatori hanno utilizzato nuove tecniche di evasione non precedentemente documentate dalla comunità della sicurezza.
Federação Brasileira di Bancos ha già ricevuto informazioni condivise da TrendMicro per proteggere istituzioni e clienti da questa crescente minaccia.