北京
巴西的中小企業主每天打開的電子發票,正在成為黑客的敲門磚。一種名為Banana RAT的新型銀行木馬,正偽裝成官方NF-e電子發票文件,通過WhatsApp和釣魚鏈接大規模傳播。
這個攻擊活動專門針對巴西金融行業,技術復雜度表明背后有資源充足的組織化威脅團伙。NF-e是巴西全國通用的官方電子發票系統,企業日常頻繁使用。攻擊者正是利用這種熟悉感,發送名為"Consultar_NF-e.bat"的惡意批處理文件,讓受害者誤以為是普通稅務文檔。
一旦運行,文件會靜默安裝功能完備的遠程訪問工具,攻擊者獲得對Windows系統的完整持久控制權。Trend Micro的MDR團隊在調查一起活躍的巴西銀行木馬行動時發現了該惡意軟件,并成功恢復了攻擊者的服務端工具集和客戶端惡意程序,完整還原了攻擊鏈條。Trend Micro將這一威脅集群追蹤為"SHADOW-WATER-063"。
Banana RAT的打擊面相當集中:16家主要巴西金融機構成為目標,包括Itau、Bradesco、Santander、Caixa和Banco do Brasil,同時涵蓋多家巴西本地加密貨幣交易所。這種精準定位幾乎排除了意外感染的可能,攻擊者顯然在刻意控制受害范圍。
分析師推測該行動可能采用惡意軟件即服務(MaaS)模式,平臺訪問權限或被轉售給多個下游代理。服務端代碼全部用巴西葡萄牙語編寫,內部項目代號為"Projeto Banana",顯示這是一個持續維護、積極開發的工具集,而非一次性攻擊。
攻擊流程經過精心設計:受害者運行批處理文件后,隱藏的PowerShell命令被觸發,從攻擊者控制的服務器獲取小型 staging 腳本,隨后下載名為"msedge.txt"的AES-256加密載荷。關鍵之處在于,載荷完全在內存中解密執行,硬盤上不會出現任何未加密文件,傳統安全工具極難察覺感染痕跡。
載荷運行后,通過注冊隱藏計劃任務建立持久化機制——PowerShell每分鐘啟動一次,最長可持續9,999天。惡意文件被隱藏在系統目錄路徑中進一步偽裝。這種"無文件"攻擊技術與社會工程學誘餌的結合,代表了針對特定地區金融基礎設施的威脅演進方向。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
