Banana RAT là một mã độc trojan ngân hàng mới được phát hiện, nhắm vào người dùng Brazil bằng cách ngụy trang thành hóa đơn điện tử hợp lệ. Chiến dịch này lạm dụng các tài liệu NF-e (Nota Fiscal Eletronica) giả để dụ nạn nhân chạy file batch độc hại trên Windows.
Chuỗi tấn công của Banana RAT
Nội dung lừa đảo thường xuất hiện qua WhatsApp hoặc các liên kết phishing. File được đặt tên theo kiểu hợp pháp, chẳng hạn “Consultar_NF-e.bat”, nhằm khiến người dùng tin rằng đây là tài liệu thuế thông thường.
Khi nạn nhân thực thi file batch, nó kích hoạt một lệnh PowerShell ẩn. Lệnh này tải về một script giai đoạn đầu từ máy chủ do kẻ tấn công kiểm soát, sau đó tiếp tục lấy một payload được mã hóa bằng AES-256 có tên “msedge.txt”.
Payload được giải mã hoàn toàn trong bộ nhớ. Cách triển khai này giúp không tạo ra file giải mã trên đĩa, làm giảm hiệu quả của nhiều cơ chế phát hiện dựa trên tệp.
Cơ chế duy trì quyền truy cập
Sau khi chạy, Banana RAT tạo scheduled task ẩn để duy trì hiện diện trên máy nạn nhân. Tác vụ này khởi chạy PowerShell mỗi phút và có thể duy trì tới 9.999 ngày.
Mã độc cũng đặt file trong một đường dẫn thư mục mô phỏng vị trí lưu trữ chẩn đoán hợp lệ của Microsoft, giúp nó hòa lẫn với các thành phần hệ thống đáng tin cậy.
Kỹ thuật ẩn mình trong chiến dịch
Chuỗi phát tán này sử dụng một pipeline biên dịch polymorphic, tạo ra payload khác nhau về mặt byte cho từng yêu cầu nạn nhân. Điều này khiến phát hiện dựa trên hash gần như không hiệu quả ở quy mô lớn.
Phía máy chủ được ghi nhận có phần mã viết hoàn toàn bằng tiếng Bồ Đào Nha Brazil, với mã dự án nội bộ là “Projeto Banana”. Dữ liệu thu thập cho thấy đây là một bộ công cụ đang được duy trì và phát triển chủ động.
Chiến dịch này được theo dõi như SHADOW-WATER-063 trong báo cáo của Trend Micro. Thông tin gốc có thể tham khảo tại: Trend Micro – Banana RAT.
Ảnh hưởng của Banana RAT
Banana RAT là một nền tảng remote access tool đầy đủ chức năng, tập trung vào gian lận tài chính và giám sát phiên đăng nhập. Theo phân tích, mã độc nhắm vào 16 tổ chức tài chính lớn và một số sàn giao dịch tiền mã hóa bản địa hóa tại Brazil.
Do tập trung vào một nhóm mục tiêu hẹp, chiến dịch cho thấy mức độ chuẩn bị cao và có khả năng được vận hành như một mô hình Malware-as-a-Service (MaaS).
Khả năng sau khi xâm nhập
- Phát trực tiếp màn hình của nạn nhân cho kẻ vận hành.
- Ghi lại phím bấm để thu thập thông tin đăng nhập.
- Chèn lớp phủ ngân hàng giả mô phỏng màn hình cập nhật bảo mật.
- Chặn hoặc thay thế Pix QR code trong giao dịch thanh toán trực tiếp.
- Kết nối điều khiển từ xa để duy trì giám sát và gian lận.
Pix là hệ thống thanh toán tức thời của ngân hàng trung ương Brazil, và Banana RAT có một phân hệ riêng cho luồng thanh toán này. Điều đó cho thấy mục tiêu của mã độc không chỉ là đánh cắp thông tin mà còn là thao túng giao dịch đang diễn ra.
Kết nối điều khiển và hạ tầng
Banana RAT kết nối về command-and-control server qua cổng 443 bằng một giao thức nhị phân tùy biến, được mã hóa bằng AES-256-CBC.
Mã độc còn sử dụng một tên miền typosquatting để giả mạo hạ tầng CDN hợp lệ của Microsoft, đồng thời có các địa chỉ IP dự phòng hardcoded để duy trì kết nối nếu tên miền chính bị gián đoạn.
Điều này làm tăng độ bền của hạ tầng và khiến việc chặn ở mức một điểm duy nhất trở nên kém hiệu quả hơn.
Chỉ dấu nhận diện và quan sát IOC
Các IOC dưới đây được trích xuất từ mô tả kỹ thuật của chiến dịch và cần được xử lý trong môi trường threat intelligence hoặc SIEM nội bộ.
- Tên file mồi: Consultar_NF-e.bat
- Payload staging: msedge.txt
- Scheduled task: Tác vụ ẩn chạy PowerShell mỗi phút
- Giao thức C2: Kết nối qua cổng 443, mã hóa AES-256-CBC
- Nhóm theo dõi: SHADOW-WATER-063
- Codenamed nội bộ: Projeto Banana
Các địa chỉ IP và domain trong tài liệu gốc được làm mờ để tránh tự động phân giải. Chỉ nên re-fang trong môi trường kiểm soát như MISP, VirusTotal hoặc SIEM.
Phát hiện xâm nhập và giảm thiểu
Vì Banana RAT dùng payload polymorphic và giải mã trong bộ nhớ, các biện pháp phát hiện xâm nhập nên tập trung vào hành vi thay vì hash tệp. Việc giám sát PowerShell, scheduled task và lưu lượng ra ngoài tới C2 là trọng tâm.
Trên endpoint, cần bật giám sát hành vi thời gian thực để phát hiện chuỗi tải xuống – giải mã – thực thi bất thường. Trên mạng, nên chặn các IOC đã xác minh tại biên và theo dõi các kết nối HTTPS bất thường tới hạ tầng có kiểu mạo danh CDN.
Lệnh kiểm tra và truy vết trên Windows
schtasks /query /fo LIST /v
powershell -NoProfile -Command "Get-ScheduledTask | Where-Object {$_.TaskName -match '.*'}"
Get-ChildItem -Path "C:\" -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.Name -eq 'Consultar_NF-e.bat' -or $_.Name -eq 'msedge.txt'}
Các câu lệnh trên giúp rà soát tác vụ định kỳ, file mồi và payload staging nếu hệ thống có dấu hiệu bị xâm nhập trái phép.
Khuyến nghị kiểm soát kỹ thuật
- Chặn IOC ở lớp tường lửa và proxy nếu đã xác minh.
- Giám sát PowerShell với logging đầy đủ để phát hiện script tải động.
- Rà soát scheduled task có chu kỳ bất thường hoặc tên giả mạo.
- Phân tích lưu lượng HTTPS bất thường tới hạ tầng C2.
- Kiểm tra đường dẫn thư mục mô phỏng thành phần Microsoft hợp lệ.
Trong môi trường điều tra, dữ liệu IOC và lưu lượng liên quan nên được đối chiếu với nguồn tham chiếu bên ngoài như NVD hoặc các nền tảng threat intelligence nội bộ trước khi áp dụng chính sách chặn.
Đặc điểm kỹ thuật nổi bật của chiến dịch
Banana RAT không chỉ là một trojan ngân hàng thông thường. Chuỗi thực thi nhiều tầng, cơ chế tồn tại bền vững, giải mã trong bộ nhớ và phân hệ dành riêng cho Pix cho thấy đây là một mối đe dọa mạng được thiết kế để gây rủi ro bảo mật cao cho các phiên giao dịch tài chính.
Việc ngụy trang bằng NF-e, sử dụng PowerShell, cùng kỹ thuật mã hóa AES-256-CBC và polymorphic build giúp chiến dịch khó bị phát hiện hơn so với các biến thể trojan truyền thống. Đây là trường hợp điển hình của tin bảo mật mới nhất liên quan đến mã độc ngân hàng và xâm nhập hệ thống trên Windows.
