Banana RAT

Banana RATは、ブラジルのユーザーを標的とするように特別に設計された、高度なバンキング型リモートアクセス・トロイの木馬（RAT）です。セキュリティ研究者らは、この攻撃キャンペーンはブラジルの悪名高いTetradeバンキングマルウェアのエコシステムと密接な関係にある脅威グループSHADOW-WATER-063によるものだと考えています。この広範なエコシステムには、Grandoreiro、Mekotio、Casbaneiro、Guildma、CHAVECLOAKといったよく知られたマルウェアファミリーが既に含まれています。

このマルウェアは、攻撃者に感染したシステムに対する広範な制御権限を与え、リアルタイムの画面監視、キーボードとマウスの操作、キーストロークの記録、クリップボードの傍受、不正な金融活動を隠蔽するために設計された偽の銀行画面やWindows Update画面の展開などを可能にします。Banana RATは、オンラインバンキングセッションを侵害し、被害者に気づかれることなく金融取引をリダイレクトすることに重点を置いています。

感染連鎖と回避戦術

被害者は、Consultar_NF-e.bat という名前の悪意のあるバッチファイルを実行するように騙されることがよくあります。このファイルは、ブラジル全土の企業で広く認識されている形式である、NF-e（Nota Fiscal Eletrônica）と呼ばれる正規のブラジル電子請求書を装っています。配布は通常、WhatsAppメッセージ、フィッシングキャンペーン、または攻撃者が管理するドメインにホストされている悪意のあるリンクを通じて行われます。

Banana RATは、多形性ペイロードの大規模なプールに依存するMalware-as-a-Serviceモデルを採用しています。攻撃者は同一のマルウェアサンプルを配信するのではなく、100～200種類の事前に生成されたバリアントを保持しており、それぞれがハッシュベースの検出方法を回避するために独自に難読化されています。すべてのペイロードは9層の難読化によって保護され、AES-256で暗号化されています。

悪意のあるバッチファイルが起動されると、軽量のPowerShellステージャーが攻撃者のインフラストラクチャから暗号化された第2段階ペイロードをダウンロードします。ペイロードはメモリ内で直接復号化され、ディスクに読み取り可能なコードを書き込むことなく実行されるため、従来のウイルス対策ソフトではマルウェアの検出が著しく困難になります。さらに通信を隠蔽するため、マルウェアは正規のMicrosoft CDNインフラストラクチャを模倣したタイポスクワッティングドメインを介してTCPポート443経由でコマンド＆コントロール（C2）接続を確立します。トラフィックはAES-256-CBCで暗号化され、感染したマシンのGUIDとMACアドレスにリンクされたHMACトークンを使用して認証されるため、許可されたオペレーターのみが侵害されたデバイスとやり取りできます。

完全リモートコントロールと銀行操作

Banana RATは実行後、感染したシステムに対する直接的かつインタラクティブな制御を攻撃者に許可します。攻撃者は、デスクトップ画面を複数のモニターにリアルタイムでストリーミングしたり、キーボードやマウスの入力をシミュレートしたり、不正な銀行取引をバックグラウンドで実行している間、被害者自身の入力デバイスを一時的に無効にしたりすることも可能です。

このマルウェアの監視機能は、リモート制御にとどまりません。内蔵のキーロガーは、キー入力をリングバッファに継続的に記録し、オペレーターは必要に応じてそのデータを取得できます。クリップボード監視機能も実装されており、攻撃者はコピーしたコンテンツ（暗号通貨ウォレットアドレスなど）を、攻撃者が制御する別のアドレスに密かに置き換えることができます。

Banana RATの大きな特徴は、銀行業務に特化したオーバーレイシステムです。このマルウェアは、アクティブなブラウザウィンドウのタイトルを監視し、Itaú Unibanco、Bradesco、Santander Brasil、Caixa Econômica Federal、Banco do Brasilなどのブラジルの金融機関16社と、ブラジルで運営されている仮想通貨取引プラットフォームのハードコードされたリストと比較します。一致するものが検出されると、攻撃者は正規の銀行ポータルやWindows Updateの通知を模倣した、説得力のあるフルスクリーンオーバーレイを展開し、裏で行われている不正行為を隠蔽します。

Pix QRコードの乗っ取りと長期的な永続性

Banana RATには、ブラジルの即時決済プラットフォームであるPixを標的とする専用サブシステムが搭載されています。このマルウェアは、実行時にZXingバーコード処理ライブラリをロードすることで、被害者の画面をスキャンしてPixのQRコードを検出します。検出されると、攻撃者は正規の決済用QRコードを不正なQRコードに置き換え、資金を自身の管理下にある口座に送金することができます。同様のQRコード操作手法は、MekotioやCHAVECLOAKといったブラジルのバンキング型トロイの木馬でも確認されており、Banana RATがTetradeマルウェアのエコシステムに属することを裏付けています。

マルウェアは永続性を維持するため、Windowsタスクスケジューラに隠されたエントリを作成し、PowerShellペイロードを9,999日間、1分ごとに再起動するように設定しています。スケジュールされたタスクは、非表示のウィンドウとバイパスされた実行ポリシーで実行されるため、目に見えるプロンプトやコンソールウィンドウは表示されません。また、Banana RATは、正規のMicrosoft診断パスに似せて設計されたディレクトリに自身をコピーすることで、信頼できるシステム場所に紛れ込み、通常の検査を回避するのに役立っています。

主な出産方法と警告サイン

Banana RATキャンペーンは主にソーシャルエンジニアリングと欺瞞的なファイル配信技術に依存しています。一般的な感染方法には以下が含まれます。

• 偽の請求書添付ファイルや悪意のあるダウンロードリンクを含むフィッシングメール
• WhatsAppやチャットプラットフォームのメッセージに、偽装されたNF-e文書が含まれている
• 不正アクセスされたウェブサイトや悪質な広告からのドライブバイダウンロード
• 海賊版ソフトウェア、偽のソフトウェアアップデート、クラックされたアプリケーション
• BAT、JavaScript、LNKショートカット、ZIPまたはRARアーカイブ、Office文書、EXEインストーラ、MSIパッケージなどの悪意のあるファイル形式

妥協の兆候と防御策

Banana RATは、ブラジルの銀行利用者からリアルタイムで金銭を盗むために特別に設計されたマルウェアです。リアルタイムのリモートアクセス、認証情報の窃盗、QRコードの改ざん、銀行オーバーレイといった機能を組み合わせることで、攻撃者は不正な取引を被害者から隠蔽しながら、金融セッションを完全に乗っ取ることができます。

侵害の可能性のある兆候としては、以下のようなものがある。

• 予期しないスケジュールされたタスクが、非表示の PowerShell コマンドを起動するように構成されています
• Microsoftのインフラストラクチャを装った暗号化チャネルを介した不審なアウトバウンド接続
• オンラインバンキングセッション中にマウスまたはキーボードが異常な動作をする
• 不正なPix送金、または説明のつかない暗号通貨ウォレットの変更
• 隠されたPowerShellプロセスと異常な銀行口座活動

感染が疑われるシステムは直ちに隔離する必要があります。保存されている銀行口座情報、クリップボードの内容、認証トークン、仮想通貨ウォレット情報は漏洩したものとみなし、関連するすべてのパスワードと金融アクセス認証情報を速やかにリセットしてください。