Banana RAT

Banana RAT est un cheval de Troie d'accès à distance (RAT) sophistiqué, conçu spécifiquement pour cibler les utilisateurs au Brésil. Les chercheurs en sécurité attribuent cette campagne au groupe de menaces SHADOW-WATER-063, étroitement lié au tristement célèbre écosystème de logiciels malveillants bancaires Tetrade au Brésil. Cet écosystème plus vaste comprend déjà des familles de logiciels malveillants bien connues telles que Grandoreiro, Mekotio, Casbaneiro, Guildma et CHAVECLOAK.

Ce logiciel malveillant offre aux attaquants un contrôle étendu sur les systèmes infectés, permettant la surveillance de l'écran en temps réel, la manipulation du clavier et de la souris, l'enregistrement des frappes, l'interception du presse-papiers et le déploiement de fausses pages bancaires ou de fausses mises à jour Windows conçues pour dissimuler des activités financières frauduleuses. Banana RAT vise principalement à compromettre les sessions bancaires en ligne et à rediriger les transactions financières à l'insu de la victime.

Chaîne d’infection et tactiques d’évasion

Les victimes sont généralement amenées à exécuter un fichier batch malveillant nommé Consultar_NF-e.bat. Ce fichier se fait passer pour une facture électronique brésilienne légitime, appelée NF-e (Nota Fiscal Eletrônica), un format largement reconnu par les entreprises au Brésil. La diffusion se fait généralement via des messages WhatsApp, des campagnes d'hameçonnage ou des liens malveillants hébergés sur des domaines contrôlés par les attaquants.

Banana RAT fonctionne selon un modèle de type Malware-as-a-Service (MaaS) s'appuyant sur de vastes pools de charges utiles polymorphes. Au lieu de distribuer des échantillons de logiciels malveillants identiques, les attaquants maintiennent entre 100 et 200 variantes pré-générées, chacune étant brouillée de manière unique pour contourner les méthodes de détection basées sur le hachage. Chaque charge utile est protégée par neuf couches d'obfuscation et chiffrée à l'aide de l'algorithme AES-256.

Une fois le fichier batch malveillant lancé, un script PowerShell léger télécharge la charge utile chiffrée de la seconde étape depuis l'infrastructure de l'attaquant. Cette charge utile est déchiffrée directement en mémoire et exécutée sans écriture de code lisible sur le disque, ce qui rend le logiciel malveillant beaucoup plus difficile à détecter par les solutions antivirus traditionnelles. Afin de dissimuler davantage les communications, le logiciel malveillant établit sa connexion de commande et de contrôle (C2) via le port TCP 443 par le biais de domaines typosquattés imitant l'infrastructure légitime du CDN Microsoft. Le trafic est chiffré avec AES-256-CBC et authentifié à l'aide de jetons HMAC liés au GUID et à l'adresse MAC de la machine infectée, garantissant ainsi que seuls les opérateurs autorisés peuvent interagir avec le périphérique compromis.

Contrôle total à distance et manipulation bancaire

Après son exécution, Banana RAT confère aux opérateurs un contrôle direct et interactif sur le système infecté. Les attaquants peuvent diffuser le bureau sur plusieurs écrans en temps réel, simuler les entrées clavier et souris, et même désactiver temporairement les périphériques d'entrée de la victime pendant que des transactions bancaires non autorisées sont effectuées en arrière-plan.

Les capacités de surveillance de ce logiciel malveillant ne se limitent pas au contrôle à distance. Un enregistreur de frappe intégré enregistre en continu les frappes au clavier dans une mémoire tampon circulaire que les opérateurs peuvent récupérer à la demande. La surveillance du presse-papiers est également implémentée, permettant aux attaquants de remplacer discrètement le contenu copié, notamment les adresses de portefeuilles de cryptomonnaies, par des alternatives qu'ils contrôlent.

L'une des principales caractéristiques de Banana RAT est son système de superposition ciblant le secteur bancaire. Ce logiciel malveillant surveille les titres des fenêtres de navigateur actives et les compare à une liste prédéfinie de 16 institutions financières brésiliennes, dont Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal et Banco do Brasil, ainsi que des plateformes d'échange de cryptomonnaies opérant au Brésil. Lorsqu'une correspondance est détectée, les attaquants peuvent déployer des superpositions plein écran convaincantes imitant des portails bancaires légitimes ou des notifications de mise à jour Windows, masquant ainsi les actions frauduleuses menées en arrière-plan.

Détournement de code QR Pix et persistance à long terme

Banana RAT intègre un sous-système dédié ciblant Pix, la plateforme de paiement instantané brésilienne. En chargeant la bibliothèque de traitement de codes-barres ZXing lors de son exécution, le logiciel malveillant analyse l'écran de la victime à la recherche de codes QR Pix. Une fois détectés, les attaquants peuvent remplacer les codes QR de paiement légitimes par des versions frauduleuses qui redirigent les fonds vers des comptes qu'ils contrôlent. Des techniques similaires de manipulation de codes QR ont déjà été observées dans des chevaux de Troie bancaires brésiliens tels que Mekotio et CHAVECLOAK, ce qui confirme que Banana RAT fait partie de l'écosystème de logiciels malveillants Tetrade.

Pour assurer sa persistance, le logiciel malveillant crée une entrée cachée dans le Planificateur de tâches Windows, configurée pour relancer la charge utile PowerShell toutes les minutes pendant 9 999 jours. Cette tâche planifiée s'exécute avec des fenêtres masquées et en contournant les règles d'exécution, empêchant ainsi l'affichage des invites ou des fenêtres de console. Banana RAT se copie également dans des répertoires conçus pour ressembler aux chemins de diagnostic légitimes de Microsoft, ce qui lui permet de se fondre dans les emplacements système de confiance et d'échapper à une inspection rapide.

Principaux modes de livraison et panneaux d’avertissement

Les campagnes de type Banana RAT reposent principalement sur l'ingénierie sociale et des techniques de diffusion de fichiers trompeuses. Les méthodes d'infection courantes comprennent :

• Courriels d'hameçonnage contenant de fausses pièces jointes de factures ou des liens de téléchargement malveillants
• Messages WhatsApp et autres messages de plateformes de messagerie contenant des documents NF-e déguisés
• Téléchargements furtifs depuis des sites web compromis et des publicités malveillantes
• Logiciels piratés, fausses mises à jour logicielles et applications crackées
• Les formats de fichiers malveillants tels que BAT, JavaScript, les raccourcis LNK, les archives ZIP ou RAR, les documents Office, les installateurs EXE et les packages MSI

Indicateurs de compromis et de mesures défensives

Banana RAT est spécifiquement conçu pour voler de l'argent en temps réel aux utilisateurs de services bancaires brésiliens. Grâce à son accès distant en direct, au vol d'identifiants, à la manipulation de codes QR et à la surimpression d'interfaces bancaires, les attaquants peuvent prendre le contrôle total des sessions financières tout en dissimulant les transactions frauduleuses à leurs victimes.

Les indicateurs potentiels de compromission comprennent :

• Des tâches planifiées inattendues sont configurées pour lancer des commandes PowerShell cachées.
• Connexions sortantes suspectes via des canaux chiffrés usurpant l'identité de l'infrastructure Microsoft
• Comportement inhabituel de la souris ou du clavier lors des sessions de banque en ligne
• Transferts Pix non autorisés ou modifications inexpliquées de portefeuilles de cryptomonnaies
• Processus PowerShell cachés et activité anormale sur les comptes bancaires

Tout système suspecté d'être infecté doit être immédiatement isolé. Les identifiants bancaires enregistrés, le contenu du presse-papiers, les jetons d'authentification et les informations des portefeuilles de cryptomonnaies doivent être considérés comme compromis, et tous les mots de passe et identifiants d'accès financiers associés doivent être réinitialisés sans délai.