ハッカーはブラジルの電子請求書システム(NF-e)を利用して、Banana RATという高度なバンキングトロイの木馬を配布しています。
このキャンペーンはSHADOW-WATER-063として追跡される金銭的動機を持つ脅威クラスターに帰属しており、ブラジルの金融機関に特化しているようです。
この調査が注目されている理由は、アナリストが攻撃者のインフラと被害者のエンドポイント両方を可視化し、攻撃ライフサイクル全体を再構築することができたからです。
サーバー側のツールをエンドポイントテレメトリと関連付けることで、研究者はペイロード生成から実行およびコマンド&コントロール(C2)通信までの完全な運用チェーンをマッピングしました。
攻撃はソーシャルエンジニアリングから始まります。被害者はWhatsAppメッセージを介して誘導され、convitemundial2026[.]comなどのドメインでホストされている「Consultar_NF-e.bat」という悪意のあるバッチファイルをダウンロードさせられます。このファイルはブラジルで広く使用されている電子請求形式である正当なNF-e請求書になりすましています。
実行されると、バッチファイルは難読化されたPowerShellコマンドを起動し、攻撃者が管理するインフラから第2段階のペイロード(msedge.txt)を取得します。
このペイロードは復号化された形式でディスクに書き込まれることはなく、代わりにPowerShellのScriptBlockメカニズムを使用してメモリで直接実行されます。
GBhackersと共有されたレポートの中でTrendAI™は述べています。攻撃者インフラとエンドポイントテレメトリを使用してBanana RATの完全な運用モデルをマッピングしました。Banana RATはSHADOW-WATER-063として追跡される脅威活動クラスターに帰属するバンキングトロイの木馬です。
ハッカーがNF-e請求書を悪用
バックエンド側では、攻撃者はFastAPIベースのペイロード生成システムを運用しています。クリーンなPowerShellバンキングトロイの木馬をソースとして使用し、複数の難読化レイヤーとAES-256-CBC暗号化でラップされます。このシステムは100〜200のプリジェネレートされたペイロードのプールを保持し、各被害者のリクエストごとにユニークです。
このポリモーフィックアプローチにより、配信されたすべてのサンプルはバイトレベルで異なり、ハッシュベースの検出を効果的に回避します。各ペイロードはpayload.phpを介して1回のみ提供され、再利用を制限し、分析を複雑にします。
- リアルタイムスクリーンストリーミングとリモート入力制御。
- キーログ記録とクリップボード操作。
- イタウ、ブラデスコ、サンタンデールなどの機関を対象とするバンキング固有のオーバーレイ注入。
- Pix QRコードの傍受により、攻撃者がブラジルの即座決済システムを操作することが可能になります。
- ファイルの抜き出しとプロセス監視。
マルウェアはTCPポート443を介したAES暗号化通信も使用し、システム識別子から派生したHMAC-SHA256トークンを使用してセッションを認証します。
提供されたすべてのペイロードは、変数名、関数名、.NETタイプ名の分割、ジャンクコード挿入、XORキー、およびAES暗号化コードブロブが異なり、規模でのファイルハッシュ検出をほぼ不可能にしています。
検出を回避するために、マルウェアは層状難読化、ファイルレス実行、およびC:\ProgramData\Microsoft\Diagnosis\ETWなどの欺瞞的なファイルパスを活用しています。永続性は、拡張期間にわたって1分ごとに実行するように構成された隠しスケジュールタスクを通じて確立され、セキュリティポリシーをバイパスしたPowerShellを実行します。
さらに、マルウェアはcsc.exeを使用してC#コンポーネントを動的にコンパイルし、入力制御、スクリーンキャプチャ、オーバーレイレンダリングなどのモジュール機能を有効にします。
C2インフラストラクチャにはwindowsk-cdn[.]comなどのドメインおよび24.199.90[.]58などのIPアドレスが含まれています。サーバー環境はPHPペイロード配信スクリプト、Python制御ツール、およびリアルタイムで被害者メトリクスを追跡する分析ダッシュボードをホストしています。
帰属分析は、言語成果物、ブラジルの銀行への排他的なターゲティング、およびPix固有の詐欺モジュールの包含によってサポートされた、ブラジルのポルトガル語を話す運用者を指しています。
GrabEznnメソッドは特に幅と高さを取得し、BitBlt関数を使用して左上隅から始まるスクリーンのその部分をBitmapオブジェクトにコピーします。
このキャンペーンは、Grandoreiroやmekotioのような家族を含む「Tetrade」バンキングマルウェアエコシステムとの取引上の類似点を示していますが、建築上の違いは、平行または進化した操作である可能性があることを示唆しています。
Banana RATは詐欺実行専用に設計されています。その機能により、攻撃者はバンキングセッションを乗っ取り、トランザクションを操作し、システムアップデートまたは銀行インターフェースを模倣する説得力のあるオーバーレイでユーザーを欺くことができます。
TrendAIは、インテリジェンスを共有しリスクを軽減するためにFEBRABAN(ブラジル銀行連合)と調整しています。ディフェンダーは既知の配信ドメインをブロック、PowerShellアクティビティを監視、疑わしいC2インフラへの異常な送信接続を検出することが勧められます。
このキャンペーンは、ラテンアメリカのバンキングトロイの木馬の高度化の増加を強調しています。特に、マルウェアアズアサービスモデルと高度にターゲットされた金融攻撃へのシフトを強調しています。
侵害の指標(IOC)
| SHA256 | ファイル | 検出名 |
| ecdc8fade561a75d68235859ad8b1fe131db2c458b4894268e38e90ecab1c47f | st.txt | Backdoor.PS1.BANANARAT.A |
| 38dfeb772afbd01c04eddda120d283acfb1147a6dc3d54ac62fe23ad06e39d8f | st.php | Trojan.PS1.BANANARAT.A |
| 4912b1134e69ade7266e8508eec33ccb2d80ad693f1dbc4f1f4344c6dfcf2ff1 | payload.php | Trojan.PS1.BANANARAT.A |
| d7545b6dacebdae27effb3c778c5e349027ec789c76ae4f777bd9ba56a70cdaa | msedge.txt | Backdoor.PS1.BANANARAT.A |
| IP/ドメイン | 検出 |
| hxxp[://]24[.]199[.]90[.]58:80/ | 感染経路 |
| hxxp[://]24[.]199[.]90[.]58:80/payload[.]php | 感染経路 |
| hxxp[://]24[.]199[.]90[.]58:80/st[.]txt | 感染経路 |
| c[.]windowsk-cdn[.]com | C&Cサーバー |
| 162.141.111[.]227:443 | C&Cサーバー |
注: IPアドレスとドメインは、偶発的な解決またはハイパーリンクを防ぐために意図的に無害化されています(例: [.])。MISP、VirusTotal、またはあなたのSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再度ファング化してください。
翻訳元: https://gbhackers.com/hackers-weaponize-nf-e-invoice/
