Banana RAT эволюционирует: WebSocket-C2 и атаки на банки
Эволюция угрозы: сравнительный анализ ветвей Banana RAT
Новое исследование раскрывает значительный скачок в тактиках и архитектуре вредоносного ПО, зафиксированный всего за несколько недель. Две ветви одного семейства показывают, как быстро злоумышленники адаптируют инструментарий для обхода защит и повышения скрытности.
Экспертный анализ Banana RAT выявил заметную эволюцию оперативных методов и внутреннего устройства программы при изучении двух образцов, связанных с общей инфраструктурой. Версии, зафиксированные 25 мая и 9 июня 2026 года, демонстрируют стремительный переход от простых скриптовых решений к сложной зашифрованной архитектуре с динамическим управлением.
Первое поколение: простота и маскировка под Microsoft (25 мая 2026)
Ранняя ветвь Banana RAT использовала незамысловатые пути установки, тематически привязанные к трассировке событий Windows (ETW) и поддельному брендингу Microsoft. Такой прием создавал ложное впечатление легитимности, облегчая первоначальное заражение.
- Предсказуемое скриптование: файл с именем вроде «Fatura-BtgPactual-22568.bat», ориентированный на конкретные фишинговые сценарии.
- Базовый загрузчик на основе PowerShell, отвечавший за доставку основной полезной нагрузки.
- Обмен данными с управляющим сервером 198.245.53.26 через простые GET-запросы, лишённые сложной обфускации.
Столь прямолинейная схема позволяла детектировать угрозу классическими сетевыми средствами, однако скорость развертывания оставалась высокой.
Вторая волна: шифрование, динамическая инфраструктура и WebSocket (09 июня 2026)
Спустя всего две недели эксперты столкнулись с кардинально переработанным вариантом. Новая ветвь продемонстрировала качественный скачок в продуманности атаки, внедрив механизмы, серьезно затрудняющие обнаружение и блокировку.
- Внедрение TLS 1.2 для шифрования канала на этапе подготовки полезной нагрузки, повышающее скрытность загрузки.
- Переход на WebSocket-канал управления (C2), размещённый на хешированном поддомене testewin.com.
- Использование случайных идентификаторов установки вместо статичных путей.
- Закрепление в системе через скрипты VBS и эволюция персистентности: от выполнения на уровне пользователя через реестр — к задачам на уровне системы.
- Появление новых артефактов (client.pid и user_process.log) для улучшения оперативной маскировки и контроля заражённого окружения.
Модифицированная архитектура превратила зловреда в гораздо более устойчивое к сбоям и блокировкам орудие, а зашифрованный транспорт WebSocket добавил уровень защиты от пассивного перехвата и анализа трафика.
Гибкая преступная бизнес-модель: Malware-as-a-Service и генерация «на лету»
Обе ветви объединяет ключевая деталь: способность генерировать продвинутое malware с учетом среды конкретной жертвы. Это указывает на то, что операторы развернули модель Malware-as-a-Service (MaaS), позволяющую в реальном времени создавать уникальные варианты вредоносной программы. Динамическое формирование поддоменов на основе MachineGuid заражённой машины служит ярким примером такого адаптивного подхода — каждый новый канал управления привязан к идентификатору устройства, из-за чего попытки блокировок по статичным спискам легитимных сервисов становятся бесполезными.
Боевой арсенал и финансовый прицел
Вне зависимости от поколения, Banana RAT оснащён внушительным набором шпионских и управляющих функций, который чётко выдаёт интерес операторов к финансовому сектору Бразилии. Подтверждённые возможности включают:
- удалённый доступ к рабочему столу;
- мониторинг пользовательских сессий;
- кейлоггинг (регистрацию нажатий клавиш);
- передачу и эксфильтрацию файлов;
- нацеленность на банковские приложения и систему моментальных платежей Pix.
Такая комбинация позволяет перехватывать учётные данные, проводить мошеннические транзакции и получать полный визуальный контроль над устройством жертвы.
Непрерывная угроза
Сравнительный анализ двух ветвей Banana RAT демонстрирует не просто доработку отдельных модулей, а постоянное, целенаправленное развитие архитектуры и тактик в ответ на появление новых средств защиты. Угроза сохранит актуальность для организаций и пользователей финансового сектора, требуя проактивного мониторинга подозрительных WebSocket-соединений, внедрения скриптов VBS и создания записей в реестре, маскирующихся под легитимные процессы Microsoft.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



