巴西的中小企业主每天打开的电子发票,正在成为黑客的敲门砖。一种名为Banana RAT的新型银行木马,正伪装成官方NF-e电子发票文件,通过WhatsApp和钓鱼链接大规模传播。
这个攻击活动专门针对巴西金融行业,技术复杂度表明背后有资源充足的组织化威胁团伙。NF-e是巴西全国通用的官方电子发票系统,企业日常频繁使用。攻击者正是利用这种熟悉感,发送名为"Consultar_NF-e.bat"的恶意批处理文件,让受害者误以为是普通税务文档。
一旦运行,文件会静默安装功能完备的远程访问工具,攻击者获得对Windows系统的完整持久控制权。Trend Micro的MDR团队在调查一起活跃的巴西银行木马行动时发现了该恶意软件,并成功恢复了攻击者的服务端工具集和客户端恶意程序,完整还原了攻击链条。Trend Micro将这一威胁集群追踪为"SHADOW-WATER-063"。
Banana RAT的打击面相当集中:16家主要巴西金融机构成为目标,包括Itau、Bradesco、Santander、Caixa和Banco do Brasil,同时涵盖多家巴西本地加密货币交易所。这种精准定位几乎排除了意外感染的可能,攻击者显然在刻意控制受害范围。
分析师推测该行动可能采用恶意软件即服务(MaaS)模式,平台访问权限或被转售给多个下游代理。服务端代码全部用巴西葡萄牙语编写,内部项目代号为"Projeto Banana",显示这是一个持续维护、积极开发的工具集,而非一次性攻击。
攻击流程经过精心设计:受害者运行批处理文件后,隐藏的PowerShell命令被触发,从攻击者控制的服务器获取小型 staging 脚本,随后下载名为"msedge.txt"的AES-256加密载荷。关键之处在于,载荷完全在内存中解密执行,硬盘上不会出现任何未加密文件,传统安全工具极难察觉感染痕迹。
载荷运行后,通过注册隐藏计划任务建立持久化机制——PowerShell每分钟启动一次,最长可持续9,999天。恶意文件被隐藏在系统目录路径中进一步伪装。这种"无文件"攻击技术与社会工程学诱饵的结合,代表了针对特定地区金融基础设施的威胁演进方向。
热门跟贴