Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Banana RAT

Banana RAT

Von Mezo in Malware, Tools zur Remoteverwaltung
Übersetzen Sie in:

Banana RAT ist ein hochentwickelter Banking-Remote-Access-Trojaner (RAT), der speziell für Angriffe auf Nutzer in Brasilien entwickelt wurde. Sicherheitsforscher ordnen die Kampagne der Bedrohungsgruppe SHADOW-WATER-063 zu, die eng mit dem berüchtigten brasilianischen Tetrade-Ökosystem für Banking-Malware verbunden ist. Zu diesem Ökosystem gehören bereits bekannte Malware-Familien wie Grandoreiro, Mekotio, Casbaneiro, Guildma und CHAVECLOAK.

Die Schadsoftware verschafft Angreifern umfassende Kontrolle über infizierte Systeme und ermöglicht so die Echtzeit-Bildschirmüberwachung, die Manipulation von Tastatur und Maus, die Protokollierung von Tastatureingaben, das Abfangen der Zwischenablage sowie die Anzeige gefälschter Banking- oder Windows-Update-Fenster, um betrügerische Finanzaktivitäten zu verschleiern. Banana RAT konzentriert sich insbesondere darauf, Online-Banking-Sitzungen zu kompromittieren und Finanztransaktionen umzuleiten, ohne dass das Opfer dies bemerkt.

Infektionskette und Ausweichtaktiken

Opfer werden häufig dazu verleitet, eine schädliche Batch-Datei namens Consultar_NF-e.bat auszuführen. Diese Datei ist als legitime brasilianische elektronische Rechnung, bekannt als NF-e (Nota Fiscal Eletrônica), getarnt – ein Format, das von Unternehmen in ganz Brasilien anerkannt wird. Die Verbreitung erfolgt typischerweise über WhatsApp-Nachrichten, Phishing-Kampagnen oder schädliche Links auf von Angreifern kontrollierten Webseiten.

Banana RAT arbeitet mit einem Malware-as-a-Service-Modell, das auf großen Pools polymorpher Payloads basiert. Anstatt identische Malware-Proben auszuliefern, halten die Angreifer zwischen 100 und 200 vorab generierte Varianten bereit, die jeweils einzigartig verschlüsselt sind, um Hash-basierte Erkennungsmethoden zu umgehen. Jede Payload ist durch neun Verschleierungsebenen geschützt und mit AES-256 verschlüsselt.

Sobald die schädliche Batch-Datei ausgeführt wird, lädt ein schlanker PowerShell-Stager die verschlüsselte Payload der zweiten Stufe von der Infrastruktur des Angreifers herunter. Die Payload wird direkt im Arbeitsspeicher entschlüsselt und ausgeführt, ohne lesbaren Code auf die Festplatte zu schreiben. Dadurch wird die Malware für herkömmliche Antivirenprogramme deutlich schwerer erkennbar. Um die Kommunikation weiter zu verschleiern, baut die Malware ihre Command-and-Control-Verbindung (C2) über TCP-Port 443 mithilfe von Typosquatting-Domains auf, die die legitime Microsoft CDN-Infrastruktur imitieren. Der Datenverkehr wird mit AES-256-CBC verschlüsselt und mithilfe von HMAC-Tokens authentifiziert, die mit der GUID und der MAC-Adresse des infizierten Rechners verknüpft sind. So wird sichergestellt, dass nur autorisierte Benutzer mit dem kompromittierten Gerät interagieren können.

Vollständige Fernsteuerung und Manipulation des Bankwesens

Nach der Ausführung ermöglicht Banana RAT den Angreifern die direkte und interaktive Kontrolle über das infizierte System. Angreifer können den Desktop in Echtzeit auf mehrere Monitore streamen, Tastatur- und Mauseingaben simulieren und sogar die Eingabegeräte des Opfers vorübergehend deaktivieren, während im Hintergrund unautorisierte Banktransaktionen durchgeführt werden.

Die Überwachungsfunktionen der Malware gehen über die Fernsteuerung hinaus. Ein integrierter Keylogger zeichnet kontinuierlich Tastatureingaben in einem Ringpuffer auf, auf den die Bediener bei Bedarf zugreifen können. Auch die Zwischenablage wird überwacht, sodass Angreifer kopierte Inhalte, einschließlich Kryptowährungs-Wallet-Adressen, unbemerkt durch vom Angreifer kontrollierte Alternativen ersetzen können.

Ein wesentliches Merkmal von Banana RAT ist sein auf Banken ausgerichtetes Overlay-System. Die Schadsoftware überwacht die Titel aktiver Browserfenster und vergleicht sie mit einer fest codierten Liste von 16 brasilianischen Finanzinstituten, darunter Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal und Banco do Brasil, sowie mit in Brasilien tätigen Kryptowährungsbörsen. Sobald eine Übereinstimmung gefunden wird, können die Angreifer überzeugende Vollbild-Overlays einblenden, die legitime Bankportale oder Windows-Update-Benachrichtigungen imitieren und so die betrügerischen Aktionen im Hintergrund verschleiern.

Pix-QR-Code-Hijacking und langfristige Persistenz

Banana RAT enthält ein spezielles Subsystem, das auf Pix, Brasiliens Sofortzahlungsplattform, abzielt. Durch das Laden der Barcode-Verarbeitungsbibliothek ZXing zur Laufzeit scannt die Malware den Bildschirm des Opfers nach Pix-QR-Codes. Sobald diese erkannt werden, können Angreifer legitime Zahlungs-QR-Codes durch gefälschte Versionen ersetzen, die Gelder auf von ihnen kontrollierte Konten umleiten. Ähnliche Manipulationstaktiken von QR-Codes wurden bereits bei brasilianischen Banking-Trojanern wie Mekotio und CHAVECLOAK beobachtet, was die Einordnung von Banana RAT in das Tetrade-Malware-Ökosystem untermauert.

Um sich dauerhaft im System einzunisten, erstellt die Malware einen versteckten Eintrag in der Windows-Aufgabenplanung, der die PowerShell-Payload 9.999 Tage lang jede Minute neu startet. Die geplante Aufgabe wird mit ausgeblendeten Fenstern und unter Umgehung von Ausführungsrichtlinien ausgeführt, sodass keine sichtbaren Eingabeaufforderungen oder Konsolenfenster angezeigt werden. Banana RAT kopiert sich außerdem in Verzeichnisse, die legitimen Microsoft-Diagnosepfaden ähneln, um sich in vertrauenswürdige Systembereiche einzufügen und einer einfachen Überprüfung zu entgehen.

Primäre Verabreichungsmethoden und Warnzeichen

Banana-RAT-Kampagnen setzen hauptsächlich auf Social Engineering und irreführende Dateiübertragungstechniken. Gängige Infektionsmethoden sind:

  • Phishing-E-Mails mit gefälschten Rechnungsanhängen oder schädlichen Download-Links
  • WhatsApp- und Chat-Plattform-Nachrichten mit getarnten NF-e-Dokumenten
  • Drive-by-Downloads von kompromittierten Websites und schädliche Werbung
  • Raubkopierte Software, gefälschte Software-Updates und gecrackte Anwendungen
  • Schädliche Dateiformate wie BAT, JavaScript, LNK-Verknüpfungen, ZIP- oder RAR-Archive, Office-Dokumente, EXE-Installationsprogramme und MSI-Pakete

Indikatoren für Kompromisse und Abwehrmaßnahmen

Banana RAT wurde speziell entwickelt, um brasilianischen Bankkunden in Echtzeit Geld zu stehlen. Die Kombination aus Live-Fernzugriff, Zugangsdatendiebstahl, QR-Code-Manipulation und Banking-Overlays ermöglicht es Angreifern, Finanztransaktionen vollständig zu übernehmen und gleichzeitig betrügerische Transaktionen vor den Opfern zu verbergen.

Mögliche Indikatoren für eine Kompromittierung sind:

  • Unerwartete geplante Aufgaben, die so konfiguriert sind, dass sie versteckte PowerShell-Befehle ausführen
  • Verdächtige ausgehende Verbindungen über verschlüsselte Kanäle, die die Microsoft-Infrastruktur imitieren.
  • Ungewöhnliches Maus- oder Tastaturverhalten während Online-Banking-Sitzungen
  • Unautorisierte Pix-Überweisungen oder unerklärliche Änderungen an Kryptowährungs-Wallets
  • Versteckte PowerShell-Prozesse und ungewöhnliche Bankkontoaktivitäten

Systeme, die im Verdacht stehen, infiziert zu sein, müssen umgehend isoliert werden. Gespeicherte Bankdaten, Inhalte der Zwischenablage, Authentifizierungstoken und Informationen zu Kryptowährungs-Wallets gelten als kompromittiert, und alle zugehörigen Passwörter und Zugangsdaten für Finanzprodukte müssen unverzüglich zurückgesetzt werden.

Im Trend

Am häufigsten gesehen

Wird geladen...