Banana RAT эволюционирует: WebSocket-C2 и атаки на банки

Эволюция угрозы: сравнительный анализ ветвей Banana RAT

Новое исследование раскрывает значительный скачок в тактиках и архитектуре вредоносного ПО, зафиксированный всего за несколько недель. Две ветви одного семейства показывают, как быстро злоумышленники адаптируют инструментарий для обхода защит и повышения скрытности.

Экспертный анализ Banana RAT выявил заметную эволюцию оперативных методов и внутреннего устройства программы при изучении двух образцов, связанных с общей инфраструктурой. Версии, зафиксированные 25 мая и 9 июня 2026 года, демонстрируют стремительный переход от простых скриптовых решений к сложной зашифрованной архитектуре с динамическим управлением.

Первое поколение: простота и маскировка под Microsoft (25 мая 2026)

Ранняя ветвь Banana RAT использовала незамысловатые пути установки, тематически привязанные к трассировке событий Windows (ETW) и поддельному брендингу Microsoft. Такой прием создавал ложное впечатление легитимности, облегчая первоначальное заражение.

  • Предсказуемое скриптование: файл с именем вроде «Fatura-BtgPactual-22568.bat», ориентированный на конкретные фишинговые сценарии.
  • Базовый загрузчик на основе PowerShell, отвечавший за доставку основной полезной нагрузки.
  • Обмен данными с управляющим сервером 198.245.53.26 через простые GET-запросы, лишённые сложной обфускации.

Столь прямолинейная схема позволяла детектировать угрозу классическими сетевыми средствами, однако скорость развертывания оставалась высокой.

Вторая волна: шифрование, динамическая инфраструктура и WebSocket (09 июня 2026)

Спустя всего две недели эксперты столкнулись с кардинально переработанным вариантом. Новая ветвь продемонстрировала качественный скачок в продуманности атаки, внедрив механизмы, серьезно затрудняющие обнаружение и блокировку.

  • Внедрение TLS 1.2 для шифрования канала на этапе подготовки полезной нагрузки, повышающее скрытность загрузки.
  • Переход на WebSocket-канал управления (C2), размещённый на хешированном поддомене testewin.com.
  • Использование случайных идентификаторов установки вместо статичных путей.
  • Закрепление в системе через скрипты VBS и эволюция персистентности: от выполнения на уровне пользователя через реестр — к задачам на уровне системы.
  • Появление новых артефактов (client.pid и user_process.log) для улучшения оперативной маскировки и контроля заражённого окружения.

Модифицированная архитектура превратила зловреда в гораздо более устойчивое к сбоям и блокировкам орудие, а зашифрованный транспорт WebSocket добавил уровень защиты от пассивного перехвата и анализа трафика.

Гибкая преступная бизнес-модель: Malware-as-a-Service и генерация «на лету»

Обе ветви объединяет ключевая деталь: способность генерировать продвинутое malware с учетом среды конкретной жертвы. Это указывает на то, что операторы развернули модель Malware-as-a-Service (MaaS), позволяющую в реальном времени создавать уникальные варианты вредоносной программы. Динамическое формирование поддоменов на основе MachineGuid заражённой машины служит ярким примером такого адаптивного подхода — каждый новый канал управления привязан к идентификатору устройства, из-за чего попытки блокировок по статичным спискам легитимных сервисов становятся бесполезными.

Боевой арсенал и финансовый прицел

Вне зависимости от поколения, Banana RAT оснащён внушительным набором шпионских и управляющих функций, который чётко выдаёт интерес операторов к финансовому сектору Бразилии. Подтверждённые возможности включают:

  • удалённый доступ к рабочему столу;
  • мониторинг пользовательских сессий;
  • кейлоггинг (регистрацию нажатий клавиш);
  • передачу и эксфильтрацию файлов;
  • нацеленность на банковские приложения и систему моментальных платежей Pix.

Такая комбинация позволяет перехватывать учётные данные, проводить мошеннические транзакции и получать полный визуальный контроль над устройством жертвы.

Непрерывная угроза

Сравнительный анализ двух ветвей Banana RAT демонстрирует не просто доработку отдельных модулей, а постоянное, целенаправленное развитие архитектуры и тактик в ответ на появление новых средств защиты. Угроза сохранит актуальность для организаций и пользователей финансового сектора, требуя проактивного мониторинга подозрительных WebSocket-соединений, внедрения скриптов VBS и создания записей в реестре, маскирующихся под легитимные процессы Microsoft.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: