Banana RAT: Skadeprogrammet som ger angripare full kontroll i realtid
En ny, sofistikerad trussel, kallad Banana RAT, har identifierats som riktar in sig på banker i Brasilien genom att använda falska dokument och verktyg för att kompromettera enheter och stjäla medel. TrendAI, tidigare Trend Micro, spårade operationen och delade information med Hackread.com.
Säkerhetsforskare på TrendAI (tidigare Trend Micro) har avslöjat en aktiv attackkampanj som riktar sig mot kunder hos 16 brasilianska banker och kryptobörser. Skadeprogrammet kallas Banana RAT och sprids via falska fakturor på WhatsApp och nätfiskelänkar.
Så fungerar attacken
Offren luras att ladda ner en fil med namnet Consultar_NF-e.bat, som ser ut som en elektronisk faktura. När filen körs startar den ett dolt PowerShell-kommando som hämtar ytterligare kod. Därifrån körs allt i datorns arbetsminne utan att sparas på disken, vilket gör det svårt för vanliga antivirusprogram att upptäcka hotet.
För att ytterligare undvika identifiering kopierar skadeprogrammet sina filer till en falsk Microsoft-mappsökväg. Angriparna använder dessutom ett eget verktyg som automatiskt genererar 100 till 200 unika varianter av skadeprogrammet per nedladdning, vilket gör att varje fil ser annorlunda ut för säkerhetsskannrar.
Realtidsstöld och full kontroll
Det som gör Banana RAT särskilt farligt är att det ger angriparna full kontroll i realtid. Funktioner inkluderar skärmströmning, tangentloggning och möjligheten att låsa offrets mus och tangentbord. När offret öppnar sin internetbank visas ett falskt helskärmsmeddelande om en "obligatorisk säkerhetsuppdatering", medan angriparna i bakgrunden genomför obehöriga överföringar.
Skadeprogrammet kan också byta ut Pix QR-koder, Brasiliens system för direktbetalningar, så att pengar skickas till angriparnas konton istället för det avsedda mottagaren.
Varför det är relevant för företag
Även om kampanjen riktar sig mot brasilianska banker är teknikerna välkända och används globalt. Falska fakturor är ett av de vanligaste sätten att sprida skadlig kod mot företag. Fileless malware, falska systemmeddelanden och QR-kodsbyte är metoder som dyker upp i attacker världen över.
Företag bör se till att anställda känner igen tecken på nätfiske, att PowerShell-körning är begränsad i känsliga miljöer och att betalningsflöden har manuella verifieringssteg för större transaktioner. En RAT som ger angriparen full skärmkontroll kan vara aktiv länge innan den upptäcks.