北京
巴西的中小企業(yè)主每天打開的電子發(fā)票,正在成為黑客的敲門磚。一種名為Banana RAT的新型銀行木馬,正偽裝成官方NF-e電子發(fā)票文件,通過WhatsApp和釣魚鏈接大規(guī)模傳播。
這個(gè)攻擊活動專門針對巴西金融行業(yè),技術(shù)復(fù)雜度表明背后有資源充足的組織化威脅團(tuán)伙。NF-e是巴西全國通用的官方電子發(fā)票系統(tǒng),企業(yè)日常頻繁使用。攻擊者正是利用這種熟悉感,發(fā)送名為"Consultar_NF-e.bat"的惡意批處理文件,讓受害者誤以為是普通稅務(wù)文檔。
一旦運(yùn)行,文件會靜默安裝功能完備的遠(yuǎn)程訪問工具,攻擊者獲得對Windows系統(tǒng)的完整持久控制權(quán)。Trend Micro的MDR團(tuán)隊(duì)在調(diào)查一起活躍的巴西銀行木馬行動時(shí)發(fā)現(xiàn)了該惡意軟件,并成功恢復(fù)了攻擊者的服務(wù)端工具集和客戶端惡意程序,完整還原了攻擊鏈條。Trend Micro將這一威脅集群追蹤為"SHADOW-WATER-063"。
Banana RAT的打擊面相當(dāng)集中:16家主要巴西金融機(jī)構(gòu)成為目標(biāo),包括Itau、Bradesco、Santander、Caixa和Banco do Brasil,同時(shí)涵蓋多家巴西本地加密貨幣交易所。這種精準(zhǔn)定位幾乎排除了意外感染的可能,攻擊者顯然在刻意控制受害范圍。
分析師推測該行動可能采用惡意軟件即服務(wù)(MaaS)模式,平臺訪問權(quán)限或被轉(zhuǎn)售給多個(gè)下游代理。服務(wù)端代碼全部用巴西葡萄牙語編寫,內(nèi)部項(xiàng)目代號為"Projeto Banana",顯示這是一個(gè)持續(xù)維護(hù)、積極開發(fā)的工具集,而非一次性攻擊。
攻擊流程經(jīng)過精心設(shè)計(jì):受害者運(yùn)行批處理文件后,隱藏的PowerShell命令被觸發(fā),從攻擊者控制的服務(wù)器獲取小型 staging 腳本,隨后下載名為"msedge.txt"的AES-256加密載荷。關(guān)鍵之處在于,載荷完全在內(nèi)存中解密執(zhí)行,硬盤上不會出現(xiàn)任何未加密文件,傳統(tǒng)安全工具極難察覺感染痕跡。
載荷運(yùn)行后,通過注冊隱藏計(jì)劃任務(wù)建立持久化機(jī)制——PowerShell每分鐘啟動一次,最長可持續(xù)9,999天。惡意文件被隱藏在系統(tǒng)目錄路徑中進(jìn)一步偽裝。這種"無文件"攻擊技術(shù)與社會工程學(xué)誘餌的結(jié)合,代表了針對特定地區(qū)金融基礎(chǔ)設(shè)施的威脅演進(jìn)方向。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
![蘇州開會,日方自己來了,中方?jīng)]吭聲。](https://nimg.ws.126.net/?url=http://bjnewsrec-cv.ws.126.net/big162c7ff3408j00tffbjz0015d000hs00ckg.jpg&thumbnail=140y88&quality=90&type=jpg)
