- 27,514
- 46
- 8 Ноя 2022
Мошенники собрали редкий набор приёмов, рассчитанный на доверие, спешку и будничную рутину.
Банковские трояны давно перестали быть простой кражей паролей. Новая операция Banana RAT показывает, как мошенники совмещают скрытую установку, удалённое управление компьютером и обман поверх банковского интерфейса, чтобы проводить переводы практически в реальном времени.
Специалисты Trend Micro изучили кампанию против финансового сектора Бразилии и связали вредоносную активность с кластером SHADOW-WATER-063. Исследователи получили редкую картину атаки с двух сторон: серверные инструменты операторов и данные с заражённых устройств.
Заражение начиналось с приманки через WhatsApp или фишинговую страницу. Жертве предлагали скачать файл Consultar_NF-e.bat, замаскированный под электронный счёт. После запуска команда PowerShell загружала следующий компонент, прятала окно и выполняла код в памяти, не сохраняя расшифрованную версию на диск.
На стороне операторов работал сервис на FastAPI, который заранее готовил от 100 до 200 уникальных сборок. Каждый запрос получал новый вариант payload.php, поэтому детектирование по хешам просто теряло смысл. Для маскировки применялись несколько слоёв обфускации, AES-256-CBC и подмена имён переменных, функций и типов .NET.
После запуска Banana RAT устанавливал скрытую задачу в Windows, открывал канал связи с управляющим сервером и давал оператору доступ к экрану, клавиатуре, мыши и файлам. Вредоносный код мог вести журнал нажатий клавиш, подменять данные в буфере обмена, показывать фальшивые банковские и системные окна, а также блокировать ввод, пока злоумышленник выполнял действия на компьютере жертвы.
Отдельный модуль был рассчитан на Pix, бразильскую систему мгновенных платежей. Троян искал QR-коды на экране, распознавал их через ZXing.NET и позволял оператору вмешиваться в платёжный сценарий. Список целей включал только бразильские банки и локализованные криптобиржи, среди них Bradesco, Itaú, Santander Brasil, Caixa и Banco do Brasil.
TrendAI связывает Banana RAT с португалоязычными операторами из Бразилии с умеренной уверенностью. На такую версию указывают язык кода и интерфейсов, внутреннее название «Projeto Banana», ориентация на Pix и набор финансовых организаций. По поведению троян близок к экосистеме Tetrade, но отличается архитектурой: вместо типичных Delphi-компонентов используется PowerShell-клиент и серверный генератор уникальных сборок.
Банковские трояны давно перестали быть простой кражей паролей. Новая операция Banana RAT показывает, как мошенники совмещают скрытую установку, удалённое управление компьютером и обман поверх банковского интерфейса, чтобы проводить переводы практически в реальном времени.
Специалисты Trend Micro изучили кампанию против финансового сектора Бразилии и связали вредоносную активность с кластером SHADOW-WATER-063. Исследователи получили редкую картину атаки с двух сторон: серверные инструменты операторов и данные с заражённых устройств.
Заражение начиналось с приманки через WhatsApp или фишинговую страницу. Жертве предлагали скачать файл Consultar_NF-e.bat, замаскированный под электронный счёт. После запуска команда PowerShell загружала следующий компонент, прятала окно и выполняла код в памяти, не сохраняя расшифрованную версию на диск.
На стороне операторов работал сервис на FastAPI, который заранее готовил от 100 до 200 уникальных сборок. Каждый запрос получал новый вариант payload.php, поэтому детектирование по хешам просто теряло смысл. Для маскировки применялись несколько слоёв обфускации, AES-256-CBC и подмена имён переменных, функций и типов .NET.
После запуска Banana RAT устанавливал скрытую задачу в Windows, открывал канал связи с управляющим сервером и давал оператору доступ к экрану, клавиатуре, мыши и файлам. Вредоносный код мог вести журнал нажатий клавиш, подменять данные в буфере обмена, показывать фальшивые банковские и системные окна, а также блокировать ввод, пока злоумышленник выполнял действия на компьютере жертвы.
Отдельный модуль был рассчитан на Pix, бразильскую систему мгновенных платежей. Троян искал QR-коды на экране, распознавал их через ZXing.NET и позволял оператору вмешиваться в платёжный сценарий. Список целей включал только бразильские банки и локализованные криптобиржи, среди них Bradesco, Itaú, Santander Brasil, Caixa и Banco do Brasil.
TrendAI связывает Banana RAT с португалоязычными операторами из Бразилии с умеренной уверенностью. На такую версию указывают язык кода и интерфейсов, внутреннее название «Projeto Banana», ориентация на Pix и набор финансовых организаций. По поведению троян близок к экосистеме Tetrade, но отличается архитектурой: вместо типичных Delphi-компонентов используется PowerShell-клиент и серверный генератор уникальных сборок.
- Источник новости
- www.securitylab.ru
