TrendMicro’nun Pesquisadores’si, Nisan 2026’da Brezilyalılar tarafından ülkenin finans kurumlarına karşı geliştirilen karmaşık bir kötü amaçlı yazılım kampanyasını keşfetti. Banana RAT adı verilen bankacılık Truva Atı, SHADOW-WATER-063 koduyla takip ediliyor ve gelişmiş gerçek zamanlı enfeksiyon ve dolandırıcılık tekniklerini kullanarak özellikle 16 ulusal bankayı ve kripto para borsasını hedef alıyor.
Analiz, WhatsApp ve kimlik avı bağlantıları aracılığıyla dağıtılan elektronik vergi belgesi kılığına giren kötü amaçlı bir dosyayla başlayan karmaşık bir mimariyi ortaya çıkardı. Operatörler, tehdidi kamufle etmek için “Consultar_NF-e.bat” gibi adlar kullanarak özellikle Brezilya elektronik faturalama sistemine aşina olan kurumsal kullanıcıları hedef alıyor.
Cadeia altı adımlı enfeksiyon
Enfeksiyon süreci iyi yapılandırılmış bir akışı takip eder. Quando kurban .bat dosyasını çalıştırdığında gizli bir PowerShell komutu hemen tetiklenir. Esse komutu, uzak bir sunucudan “msedge.txt” adı verilen ikinci bir adımı indirerek tüm kodun, depoya dokunmadan, şifrelenmemiş bir biçimde sistemin geçici belleğinde (RAM) çalışmasını sağlar.
Operatörler tarafından sağlanan altyapı karmaşıktır. Her yükte dokuz gizleme katmanı bulunan Utilizam tabanlı FastAPI sunucuları. Sistem, önceden oluşturulmuş 100 ila 200 benzersiz yapıdan oluşan bir havuz tutuyor ve kurbandan gelen her istek farklı bir dosya tüketiyor.
Isso, her indirmenin benzersiz bir karma değerine sahip olduğu anlamına gelir. Técnicas geleneksel imza tespiti bu stratejiyi tamamen başarısızlığa uğratır. Durante analizinde araştırmacılar, havuzu dolu tutmak için sürekli olarak yeni yükler üreten ve imza tabanlı antivirüslerin tehdidi tanımlayamamasını sağlayan dört paralel iş parçacığını buldu.
Controle tam uzaktan ve gerçek zamanlı dolandırıcılık
Etkinleştirildikten sonra Banana RAT tam uzaktan erişim özellikleri sunar. Operatör, yakalamaların birden fazla monitörle çalışarak ve çözünürlük ayarlarına uygun olarak kurbanın ekranını JPEG akışı yoluyla gerçek zamanlı olarak iletebiliyor. Kötü amaçlı yazılım, fare ve klavye kontrollerini Win32 API’leri aracılığıyla enjekte ederek operatörün, makineyi uzaktan çalıştırırken BlockInput işlevini kullanarak kurbanın girişini dondurmasına olanak tanıyor.
GetAsyncKeyState tabanlı bir keylogger, tüm tuş vuruşlarını 2 bin girişten oluşan dairesel bir arabellekte yakalar. İstemci ve sunucu arasındaki Todas iletişimleri, anahtarın SHA-256 aracılığıyla sabit bir ana anahtardan türetildiği AES-256-CBC şifrelemesini kullanır. Saldırganların sunucu analiz paneli indirme işlemlerini ülkeye, saate ve işletim sistemine göre takip ediyor; kaydedilen tüm erişimler Brasil’den geldi.
Ana dolandırıcılık tekniği tam ekran kaplamayı kullanır. Quando kurbanı bankacılık web sitesini açar ve kötü amaçlı yazılım, “Segurança güncellemesi gerekli. BİLGİSAYARINIZI KAPATMAYIN” yazan sahte bir güvenlik güncelleme mesajı görüntüler. Sahte ekran, operatör arka planda çalışan gerçek bankacılık oturumunda yetkisiz transferler gerçekleştirirken, dört simüle edilmiş adımla ilerleme animasyonunu gösterir.
Subsistema, Pix’ye ve QR kod müdahalesine adanmıştır
Kötü amaçlı yazılım, ekrandaki QR kodlarını tespit etmek ve kodunu çözmek için ZXing.NET kitaplığını kullanarak Pix için özel bir alt sistem uygular. Quando kurban QR aracılığıyla fatura ödemeye çalışıyor, kötü amaçlı yazılım kod verilerinin yerini alıyor. Para doğrudan suçluların hesaplarına gidiyor. Hedef diğer ülkelerde bulunmayan Pix teknolojisi olduğundan, Essa işlevselliği yalnızca Brezilya pazarı için mevcuttur.
Araştırmacılar doğrudan ön uç kaynak kodunda 16 hedeften oluşan sabit kodlu bir liste buldular. Todos, ulusal pazara yönelik Brezilya finans kurumları veya kripto para borsalarıdır:
- Itaú
- Bradesco
- Santander Brasil
- Caixa
- Brasil’den Banco
- Safra
- Banrisul
- Daycoval
- Sicoob
- Sicredi
Assinatura tekniği ve sürekli gelişim
Altyapı analizi tutarlı parmak izlerini ortaya çıkardı. Polimorfizm motoru her veri yükünü “PROTECTED SCRIPT v4.0.Projeto Banana (MSEDGE EDITION)” başlığıyla damgalar. Sürüm niteleyicisi ve sürüm numarası, geliştiriciler tarafından sürekli olarak güncellenen bir ürün grubunu önerir.
Banana RAT, yeteneklerini Grandoreiro, Mekotio, Casbaneiro ve CHAVECLOAK gibi Brezilya bankacılık truva atlarından oluşan Tetrade ailesiyle paylaşır. Tam ekran bankacılık arayüzü, bu kötü amaçlı yazılım ailesinin tanımlayıcı davranışıdır. Ancak mimari farklılıklar onu diğerlerinden ayırır: Banana RAT, Python sunucusu tarafından yönetilen bir PowerShell istemcisidir, Tetrade ailesinin diğer üyeleri ise farklı standartları izler.
Além Ayrıca kurban başına polimorfizm sistemi, diğer aile üyeleri için belgelenenleri aşmaktadır. Altyapı ayrıca analiz sırasında Grandoreiro’nin yayınlanmış göstergeleriyle örtüşmüyor; bu da operatörlerin daha önce güvenlik topluluğu tarafından belgelenmeyen yeni kaçırma tekniklerini kullandığını gösteriyor.
Bancos’nin Federação Brasileira’si, kurumları ve müşterileri bu büyüyen tehdide karşı korumak için TrendMicro tarafından paylaşılan istihbaratı zaten aldı.