Аналитики TrendAI восстановили полную цепочку атаки трояна Banana RAT, нацеленного на бразильские банки

Специалисты Managed Detection and Response (MDR) - сервиса управляемого обнаружения и реагирования на угрозы - из TrendAI Vision One во время расследования атаки на бразильский финансовый сектор впервые получили доступ одновременно к серверной и клиентской частям инфраструктуры злоумышленников. Это позволило детально восстановить всю последовательность операций вредоносной программы Banana RAT, которую аналитики отслеживают под кодовым именем SHADOW-WATER-063. Троян ориентирован исключительно на клиентов 16 бразильских финансовых учреждений и использует уникальный механизм полиморфной генерации полезной нагрузки, который делает обнаружение по сигнатурам практически бесполезным.

Описание

Жертва получает начальный файл через сообщения в WhatsApp или фишинговую ссылку. Файл маскируется под электронный счёт-фактуру бразильской системы NF-e (Nota Fiscal Eletrônica) и называется Consultar_NF-e.bat. Как только пользователь запускает его, скрытый сценарий PowerShell загружает следующую стадию атаки целиком в оперативную память - ни один расшифрованный вредоносный файл никогда не попадает на диск. Такой подход позволяет обойти многие традиционные антивирусные решения.

Серверная часть атаки отличается высоким уровнем автоматизации. Оператор держит на сервере исходный, необфусцированный сценарий PowerShell (msedge.txt), который служит мастер-копией. Этот сценарий поступает на сервис на базе FastAPI, который накладывает на него девять последовательных слоёв запутывания и оборачивает в шифрование AES-256-CBC. Для каждого нового запроса жертвы система извлекает из заранее сгенерированного пула от 100 до 200 уникальных экземпляров. Каждый экземпляр байт-уникален, что делает хеш-детектирование на уровне популяции невозможным. Полученная полезная нагрузка затем передаётся на целевой компьютер.

Клиентская часть Banana RAT представляет собой полноценный модуль удалённого мошенничества и наблюдения. После закрепления в системе (через скрытую задачу планировщика, запускаемую каждую минуту в течение почти 10 000 дней) троян устанавливает TCP-соединение с сервером управления и контроля. Через это зашифрованное каналом AES-256-CBC соединение оператор может выполнять удалённый ввод данных с клавиатуры и мыши, одновременно блокируя настоящий ввод жертвы. Система непрерывно записывает нажатия клавиш, отслеживает буфер обмена, делает скриншоты экрана и передаёт поток видео рабочего стола в реальном времени.

Особого внимания заслуживает модуль перехвата транзакций через бразильскую платёжную систему Pix. Он использует библиотеку ZXing.NET для распознавания QR-кодов на экране. Когда жертва инициирует платёж Pix, троян перехватывает отображаемый QR-код, декодирует его и отправляет оператору. Затем мошенник может заменить код на свой собственный, перенаправляя средства на свои счета. Вся процедура маскируется под "обязательное обновление безопасности" - на экране появляется полноэкранный оверлей с надписью на португальском "Atualização de Segurança obrigatória - NÃO DESLIGUE O COMPUTADOR" (обязательное обновление безопасности - не выключайте компьютер). Поддельное окно имитирует процесс обновления Windows: проверка ОС, загрузка модуля, проверка сертификатов, применение обновления. В течение нескольких минут, пока жертва верит, что идёт обслуживание системы, злоумышленник спокойно проводит финансовые операции.

В отчёте TrendAI подчёркивает, что Banana RAT относится к экосистеме бразильских банковских троянов, известной как Tetrade (Grandoreiro, Mekotio, Casbaneiro, Guildma и др.). Однако он отличается от классических членов семейства. Вместо монолитного Delphi-бинарника здесь используется полностью модульная архитектура на PowerShell с Python-движком полиморфизма на стороне сервера. Кроме того, оператор вложил значительные ресурсы в создание собственного веб-интерфейса с панелью статистики и мониторинга - "Download Analytics v2.0". Это указывает на то, что платформа может предлагаться как услуга (Malware-as-a-Service) для сторонних аффилированных лиц.

Атрибуция к бразильскоязычной группировке подтверждается несколькими признаками. Во-первых, все имена файлов, комментарии и сообщения в коде написаны на бразильском португальском без диакритических знаков ("Voce" вместо "Você"). Во-вторых, внутреннее кодовое название проекта - "Projeto Banana" - и версия "MSEDGE EDITION" свидетельствуют о том, что это не разовая операция, а поддерживаемая продуктовая линейка. В-третьих, зафиксирован жёстко заданный криптографический мастер-ключ (iuhbdaubdvauygd5562$3@##$r), который используется как для HMAC-аутентификации, так и для вывода ключа AES-256. Такие статические ключи редко меняются между кампаниями, что делает их хорошим маркером для отслеживания.

Атака нацелена исключительно на бразильский рынок. Список мониторинга включает 11 крупнейших банков (Bradesco, Itaú, Santander, Caixa, Banco do Brasil, Banrisul, Daycoval, Safra, Sicoob, Sicredi) и пять бразильских криптобирж. Среди 60 с лишним записей нет ни одного мексиканского, аргентинского, европейского или американского учреждения. Подсистема перехвата QR Pix - уникальное решение для бразильской платёжной системы, не имеющее аналогов за пределами страны.

Последствия атаки очевидны: финансовые потери для жертв, возможная компрометация корпоративных счетов, остановка банковских операций. Поскольку группа использует модель MaaS, её потенциал расширяется за счёт привлечения новых партнёров. TrendAI уже координирует действия с Федерацией банков Бразилии (FEBRABAN) для передачи информации об угрозах.

Организациям, работающим в бразильском сегменте, необходимо усилить меры защиты. Прежде всего, повышать осведомлённость сотрудников: легитимные сайты и системы безопасности никогда не будут требовать запуска команд PowerShell для устранения ошибок. Важно научить пользователей не доверять внезапным полноэкранным оверлеям, которые блокируют рабочий стол и просят ничего не нажимать. Кроме того, критически важно иметь современные средства Endpoint Detection and Response (EDR) с поведенческим мониторингом, способные выявить запуск скрытых сценариев PowerShell и аномальное обращение к API управления окнами.