Tin Mới Nhất (VI)

Banana RAT: virus đánh cắp dữ liệu từ 16 ngân hàng

Bởi Redação Portal 22 tháng 5 2026 11 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Virus
Foto: Virus - krungchingpixs/ shutterstock.com

Các nhà nghiên cứu của TrendMicro đã phát hiện vào tháng 4 năm 2026 một chiến dịch phần mềm độc hại tinh vi do người Brazil phát triển nhằm chống lại các tổ chức tài chính trong nước. Trojan ngân hàng có tên Banana RAT được theo dõi với mã SHADOW-WATER-063 và đặc biệt nhắm mục tiêu vào 16 ngân hàng quốc gia và sàn giao dịch tiền điện tử bằng cách sử dụng các kỹ thuật gian lận và lây nhiễm thời gian thực tiên tiến.

Phân tích cho thấy một kiến ​​trúc phức tạp bắt đầu bằng một tệp độc hại được ngụy trang dưới dạng tài liệu thuế điện tử được phân phối qua WhatsApp và các liên kết lừa đảo. Các nhà điều hành đặc biệt nhắm mục tiêu vào người dùng doanh nghiệp quen thuộc với hệ thống hóa đơn điện tử của Brazil, sử dụng các tên như “Consultar_NF-e.bat” để ngụy trang cho mối đe dọa.

Chuỗi lây nhiễm sáu bước

Quá trình lây nhiễm diễn ra theo một dòng chảy có cấu trúc tốt. Khi nạn nhân chạy tệp .bat, lệnh PowerShell ẩn sẽ được kích hoạt ngay lập tức. Lệnh này tải xuống bước thứ hai có tên “msedge.txt” từ máy chủ từ xa, giữ cho tất cả mã chạy trong bộ nhớ dễ thay đổi (RAM) của hệ thống mà không chạm vào bộ lưu trữ ở dạng không được mã hóa.

Cơ sở hạ tầng được duy trì bởi các nhà khai thác rất phức tạp. Họ sử dụng máy chủ FastAPI làm cơ sở với chín lớp che giấu trong mỗi tải trọng. Hệ thống duy trì một nhóm từ 100 đến 200 bản dựng được tạo trước duy nhất và mỗi yêu cầu từ nạn nhân sẽ sử dụng một tệp khác nhau.

Làm việc từ xa, văn phòng tại nhà hoặc làm việc từ xa.
Marcelo Camargo/Agência Brasil

Điều này có nghĩa là mỗi lượt tải xuống có một hàm băm duy nhất. Các kỹ thuật phát hiện chữ ký truyền thống hoàn toàn thất bại trong chiến lược này. Trong quá trình phân tích, các nhà nghiên cứu đã tìm thấy bốn luồng song song liên tục tạo ra các tải trọng mới để giữ cho nhóm luôn đầy, đảm bảo rằng các phần mềm chống vi-rút dựa trên chữ ký không thể xác định được mối đe dọa.

Kiểm soát hoàn toàn từ xa và gian lận thời gian thực

Sau khi hoạt động, Banana RAT cung cấp đầy đủ khả năng truy cập từ xa. Kẻ điều hành có thể truyền màn hình của nạn nhân trong thời gian thực thông qua phát trực tuyến JPEG, với các ảnh chụp hoạt động với nhiều màn hình và tôn trọng cài đặt độ phân giải. Phần mềm độc hại chèn các điều khiển chuột và bàn phím thông qua API Win32, cho phép người vận hành đóng băng đầu vào của nạn nhân bằng chức năng BlockInput trong khi vận hành máy từ xa.

Keylogger dựa trên GetAsyncKeyState ghi lại tất cả các lần nhấn phím trong bộ đệm tròn gồm 2 nghìn mục nhập. Tất cả thông tin liên lạc giữa máy khách và máy chủ đều sử dụng mã hóa AES-256-CBC, với khóa lấy từ khóa chính cố định thông qua SHA-256. Bảng phân tích máy chủ của kẻ tấn công hiển thị các lượt tải xuống được theo dõi theo quốc gia, thời gian và hệ điều hành – tất cả quyền truy cập được ghi lại đều đến từ Brazil.

Kỹ thuật lừa đảo chính sử dụng lớp phủ toàn màn hình. Khi nạn nhân mở trang web ngân hàng, phần mềm độc hại hiển thị thông báo cập nhật bảo mật giả mạo có nội dung “Yêu cầu cập nhật bảo mật. KHÔNG TẮT MÁY TÍNH CỦA BẠN.” Màn hình giả hiển thị hoạt ảnh tiến trình với bốn bước mô phỏng trong khi người vận hành thực hiện chuyển khoản trái phép trong phiên ngân hàng thực đang chạy ẩn.

Leia Tambem
Sony xác nhận loại bỏ Red Dead Redemption và 5 game khỏi PS Plus Extra và Deluxe vào tháng 6

Sony xác nhận loại bỏ Red Dead Redemption và 5 game khỏi PS Plus Extra và Deluxe vào tháng 6

Ngày phát hành mới của Grand Theft Auto VI được nhà sản xuất ấn định vào tháng 11 năm 2026

Ngày phát hành mới của Grand Theft Auto VI được nhà sản xuất ấn định vào tháng 11 năm 2026

Nintendo tiết lộ bảng điều khiển lai mới với bộ xử lý Nvidia và bản làm lại của Zelda Ocarina of Time

Nintendo tiết lộ bảng điều khiển lai mới với bộ xử lý Nvidia và bản làm lại của Zelda Ocarina of Time

Hệ thống con chuyên dụng để chặn mã Pix và QR

Phần mềm độc hại triển khai một hệ thống con cụ thể cho Pix, sử dụng thư viện ZXing.NET để phát hiện và giải mã mã QR trên màn hình. Khi nạn nhân cố gắng thanh toán hóa đơn qua QR, phần mềm độc hại sẽ thay thế dữ liệu mã. Tiền đi thẳng vào tài khoản của bọn tội phạm. Chức năng này chỉ dành riêng cho thị trường Brazil vì mục tiêu là công nghệ Pix, vốn không có ở các quốc gia khác.

Các nhà nghiên cứu đã tìm thấy một danh sách được mã hóa cứng gồm 16 mục tiêu trực tiếp trong mã nguồn giao diện người dùng. Tất cả đều là các tổ chức tài chính hoặc sàn giao dịch tiền điện tử của Brazil dành cho thị trường quốc gia:

  • Itau
  • Bradesco
  • Brazil
  • Hộp
  • Ngân hàng Brazil
  • Mùa gặt
  • Banrisul
  • Daycoval
  • Sicoob
  • Sicredi

Chữ ký kỹ thuật và tiếp tục phát triển

Phân tích cơ sở hạ tầng cho thấy dấu vân tay nhất quán. Công cụ đa hình đóng dấu mỗi tải trọng với tiêu đề “PROTECTED SCRIPT v4.0. Project Banana (MSEDGE EDITION)”. Vòng loại phiên bản và số phiên bản gợi ý một dòng sản phẩm được các nhà phát triển cập nhật liên tục.

Banana RAT chia sẻ khả năng với dòng trojan ngân hàng Brazil Tetrade, chẳng hạn như Grandoreiro, Mekotio, Casbaneiro và CHAVECLOAK. Lớp phủ ngân hàng toàn màn hình là hành vi xác định của dòng phần mềm độc hại này. Nhưng sự khác biệt về kiến ​​trúc khiến nó trở nên khác biệt so với phần còn lại: Banana RAT là máy khách PowerShell do máy chủ Python điều phối, trong khi các thành viên khác trong gia đình Tetrade tuân theo các tiêu chuẩn khác.

Hơn nữa, hệ thống đa hình cho mỗi nạn nhân vượt xa hệ thống được ghi nhận đối với các thành viên khác trong gia đình. Cơ sở hạ tầng cũng không trùng lặp với các chỉ số được công bố của Grandoreiro tại thời điểm phân tích, cho thấy rằng các nhà khai thác đã sử dụng các kỹ thuật trốn tránh mới chưa được cộng đồng bảo mật ghi lại trước đây.

Liên đoàn Ngân hàng Brazil đã nhận được thông tin tình báo do TrendMicro chia sẻ để bảo vệ các tổ chức và khách hàng trước mối đe dọa ngày càng tăng này.