W kwietniu 2026 r. narzędzie Pesquisadores firmy TrendMicro odkryło wyrafinowaną kampanię złośliwego oprogramowania opracowaną przez Brazylijczyków przeciwko instytucjom finansowym kraju. Trojan bankowy o nazwie Banana RAT był śledzony pod kodem SHADOW-WATER-063 i atakował w szczególności 16 banków krajowych oraz giełdy kryptowalut, wykorzystując zaawansowane techniki infekcji i oszustw w czasie rzeczywistym.
Analiza ujawniła złożoną architekturę, która zaczyna się od złośliwego pliku podszywającego się pod elektroniczny dokument podatkowy rozpowszechnianego za pośrednictwem WhatsApp i łączy phishingowych. Operatorzy atakują zwłaszcza użytkowników korporacyjnych zaznajomionych z brazylijskim systemem fakturowania elektronicznego, używając nazw takich jak „Consultar_NF-e.bat”, aby zamaskować zagrożenie.
Infekcja w sześciu krokach Cadeia
Proces infekcji przebiega według dobrze zorganizowanego przebiegu. Quando ofiara wykonuje plik .bat, natychmiast uruchamiane jest ukryte polecenie PowerShell. Komenda Esse pobiera drugi krok o nazwie „msedge.txt” ze zdalnego serwera, dzięki czemu cały kod działa w pamięci ulotnej (RAM) systemu bez dotykania pamięci w niezaszyfrowanej formie.
Infrastruktura utrzymywana przez operatorów jest zaawansowana. Serwery FastAPI oparte na Utilizam z dziewięcioma warstwami zaciemniania w każdym ładunku. System utrzymuje pulę od 100 do 200 unikalnych, wstępnie wygenerowanych kompilacji, a każde żądanie ofiary zużywa inny plik.
Isso oznacza, że każde pobranie ma unikalny skrót. Tradycyjne wykrywanie podpisów Técnicas całkowicie zawodzi tę strategię. Analiza Durante wykazała, że cztery równoległe wątki stale generują nowe ładunki, aby utrzymać pełną pulę, zapewniając, że programy antywirusowe oparte na sygnaturach nie będą w stanie zidentyfikować zagrożenia.
Controle w pełni zdalne oszustwo w czasie rzeczywistym
Po aktywacji Banana RAT zapewnia pełne możliwości zdalnego dostępu. Operator może przesyłać ekran ofiary w czasie rzeczywistym za pomocą strumieniowego przesyłania plików JPEG, przy czym przechwytywane obrazy działają na wielu monitorach i są zgodne z ustawieniami rozdzielczości. Szkodnik wprowadza sterowanie myszą i klawiaturą poprzez interfejsy API Win32, umożliwiając operatorowi zamrożenie danych wejściowych ofiary za pomocą funkcji BlockInput podczas zdalnej obsługi maszyny.
Keylogger oparty na GetAsyncKeyState przechwytuje wszystkie naciśnięcia klawiszy w buforze cyklicznym liczącym 2 tysiące wpisów. Komunikacja Todas pomiędzy klientem a serwerem wykorzystuje szyfrowanie AES-256-CBC, przy czym klucz pochodzi ze stałego klucza głównego za pośrednictwem SHA-256. Panel analityczny serwera atakującego pokazuje pobrania śledzone według kraju, czasu i systemu operacyjnego — cały zarejestrowany dostęp pochodził z Brasil.
Główna technika oszustwa wykorzystuje nakładkę pełnoekranową. Quando ofiara otwiera witrynę bankową, złośliwe oprogramowanie wyświetla fałszywą wiadomość o aktualizacji zabezpieczeń o treści „Wymagana aktualizacja Segurança. NIE WYŁĄCZAJ SWOJEGO KOMPUTERA”. Fałszywy ekran przedstawia animację postępu składającą się z czterech symulowanych kroków, podczas gdy operator wykonuje nieautoryzowane przelewy w rzeczywistej sesji bankowej działającej w tle.
Subsistema dedykowany do przechwytywania Pix i kodów QR
Szkodnik implementuje specyficzny podsystem dla Pix, wykorzystując bibliotekę ZXing.NET do wykrywania i dekodowania kodów QR na ekranie. Quando ofiara próbuje zapłacić rachunek za pomocą QR, złośliwe oprogramowanie zastępuje dane kodu. Pieniądze trafiają bezpośrednio na konta przestępców. Funkcjonalność Essa istnieje wyłącznie na rynku brazylijskim, ponieważ docelową jest technologia Pix, która nie jest dostępna w innych krajach.
Badacze znaleźli zakodowaną na stałe listę 16 celów bezpośrednio w kodzie źródłowym frontendu. Todos to brazylijskie instytucje finansowe lub giełdy kryptowalut zlokalizowane na rynku krajowym:
- Itaú
- Bradesco
- Santander Brasil
- Caixa
- Banco z Brasil
- Safra
- Banrisul
- Daycoval
- Sicoob
- Sicredi
Technika Assinatura i ciągły rozwój
Analiza infrastruktury ujawniła spójne odciski palców. Silnik polimorfizmu stempluje każdy ładunek nagłówkiem „PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)”. Kwalifikator wydania i numer wersji sugerują linię produktów, która jest stale aktualizowana przez programistów.
Banana RAT dzieli możliwości z rodziną brazylijskich trojanów bankowych Tetrade, takimi jak Grandoreiro, Mekotio, Casbaneiro i CHAVECLOAK. Pełnoekranowa nakładka bankowa jest charakterystycznym zachowaniem tej rodziny szkodliwych programów. Jednak różnice architektoniczne odróżniają go od reszty: Banana RAT to klient PowerShell zarządzany przez serwer Python, podczas gdy pozostali członkowie rodziny Tetrade stosują różne standardy.
Além Co więcej, system polimorfizmu na ofiarę przekracza system udokumentowany dla innych członków rodziny. Infrastruktura nie pokrywa się również ze wskaźnikami opublikowanymi w momencie analizy Grandoreiro, co sugeruje, że operatorzy stosowali nowe techniki unikania zagrożeń, które nie były wcześniej udokumentowane przez społeczność zajmującą się bezpieczeństwem.
Federação Brasileira z Bancos otrzymał już dane wywiadowcze udostępnione przez TrendMicro w celu ochrony instytucji i klientów przed tym rosnącym zagrożeniem.