Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Banana RAT usa generador de carga útil para crear variantes de malware bancario polimórfico


Se ha detectado una actualización crítica en el malware bancario Banana RAT, un troyano de acceso remoto vinculado a fraudes en Brasil. La campaña utiliza un servidor backend expuesto que permite generar variantes polimórficas del malware bajo demanda, facilitando así que el código cambie constantemente para evitar ser detectado por los equipos de seguridad.



El malware bancario acaba de recibir una actualización seria en la forma en que se oculta de los equipos de seguridad. Una campaña basada en Banana RAT, un troyano de acceso remoto vinculado desde hace tiempo al fraude bancario brasileño, ha sido detectada utilizando un servidor backend expuesto que crea nuevas variantes de malware bajo demanda.

Ese servidor no solo alojaba archivos maliciosos; ejecutaba herramientas activas capaces de generar cargas útiles (payloads) frescas y disfrazadas de manera diferente cada vez que un atacante necesitaba una.

El descubrimiento del investigador Moises Cerqueira comenzó con un índice público encontrado en una sola dirección IP, expuesta y rastreable mediante un escaneo rutinario de internet.

En lugar de una muestra de malware estática, los investigadores encontraron una plataforma de entrega operativa, completa con un generador de payloads y un script de ofuscación situados junto a los propios archivos maliciosos.

Según un informe compartido por ANY.RUN, esta combinación permitió que una sola pieza de infraestructura produjera silenciosamente dos versiones diferentes de Banana RAT en pocas semanas.

Los analistas de ANY.RUN identificaron la configuración expuesta al ejecutarla en un sandbox y la utilizaron para rastrear cómo cambiaba el malware entre dos detonaciones en vivo: una a finales de mayo de 2026 y otra a principios de junio de 2026.

Exposed public index at 198.245.53.26 (Source - Any.Run)
Índice público expuesto en 198.245.53.26 (Fuente – Any.Run)

Comparar las dos versiones lado a lado permitió observar detalladamente cómo un operador de troyanos bancarios perfecciona las técnicas de evasión casi en tiempo real.

El impacto va más allá de una sola cadena de infección. Debido a que el mismo servidor de preparación impulsaba ambas versiones del malware, los defensores de las empresas ahora tienen una imagen más completa de cómo evoluciona esta operación, en lugar de solo una captura de una muestra.

Esto es fundamental para cualquiera que esté creando reglas de detección o intentando bloquear esta actividad antes de que llegue a la sesión bancaria de una víctima.

Banana RAT apunta directamente a la actividad financiera, centrándose en robar credenciales bancarias e interferir en las transacciones de pago. Su capacidad para regenerarse en nuevas formas hace que las defensas basadas en listas negras sean mucho menos fiables con el tiempo.

Banana RAT utiliza un generador de payloads expuesto

El servidor expuesto ejecutaba un script llamado servidor_completo_pool.py, un servicio de backend diseñado para pregenerar cargas útiles de malware en lotes en lugar de una por una.

Extraía archivos fuente de un directorio web y ofrecía varias direcciones web que le permitían preparar grupos de payloads, informar estadísticas y entregar archivos finalizados.

MicrosoftEdgeUpdateCore.exe configuration (Source - Any.Run)
Configuración de MicrosoftEdgeUpdateCore.exe (Fuente – Any.Run)

Esto indica un constructor diseñado para la producción continua de nuevas copias de malware, más que un único archivo estático dejado en línea por error.

Junto a él se encontraba un segundo script, ofuscador.py, que tomaba comandos de PowerShell en texto plano y los reescribía en una secuencia de caracteres mezclados que se reensamblaban y ejecutaban en el momento de la ejecución.

Ese truco es lo que permitió que el mismo malware base pareciera diferente cada vez que llegaba a una nueva máquina, ya que los detalles superficiales cambian constantemente mientras que el comportamiento subyacente permanece constante.

Cómo difieren las dos ramas de Banana RAT

La versión anterior, detonada a finales de mayo, dependía de nombres de archivos y rutas de carpetas fijas diseñadas para parecer componentes legítimos de actualización de Windows.

Utilizaba un dominio similar con un error ortográfico, un detalle que facilitó su detección una vez que los defensores notaron la discrepancia. La persistencia dependía de una tarea programada vinculada a un ejecutable con nombre, dando a los analistas una huella estable para rastrear.

La versión más reciente, vista a principios de junio, eliminó por completo esa estructura predecible. Las carpetas de instalación y los nombres de archivo se generan ahora al azar para cada máquina infectada, y la persistencia cambia a un lanzador VBS junto con una tarea programada oculta que se ejecuta con privilegios de nivel de sistema.

Execution Flow Comparison (Source - Any.Run)
Comparación del flujo de ejecución (Fuente – Any.Run)

La comunicación con los servidores del atacante ocurre a través de un canal WebSocket cifrado, utilizando una dirección construida a partir de un identificador hash único para cada computadora infectada, lo que hace que el bloqueo simple de dominios sea mucho menos efectivo.

Un detalle se mantuvo constante en ambas versiones: una dirección IP de respaldo incrustada en el código, vinculando la rama más nueva directamente con la infraestructura más antigua.

Se recomienda a los equipos de seguridad bloquear el tráfico vinculado a los indicadores conocidos a continuación, monitorear las tareas programadas creadas bajo nombres sospechosos y tratar cualquier actividad inesperada de PowerShell oculta como una señal de advertencia que merece ser investigada.

Rastrear ambas ramas a través de la misma infraestructura expuesta permitió a los defensores tener una visión más clara de cómo esta familia de malware sigue adaptándose.

Indicadores de compromiso (IoCs):-

TipoIndicadorDescripción
IP198[.]245[.]53[.]26Servidor de preparación expuesto que aloja el generador de payloads y scripts de ofuscación
IP149[.]56[.]12[.]51IP C2 de respaldo compartida entre las ramas antigua y nueva de Banana RAT
IP104[.]21.39.172IP de borde de Cloudflare resuelta para el dominio C2 WebSocket de la rama nueva
IP67[.]142[.]55IP de borde de Cloudflare resuelta para el dominio C2 WebSocket de la rama nueva
Dominioc.windowns-cdn.comDominio C2 pseudo-Microsoft utilizado por la rama de detonación antigua
Dominiotestewin.comDominio apex base utilizado para los subdominios C2 WebSocket con hash de la rama nueva
Dominio52facc3b24f8bad9c5c56819e385f3a1.testewin.comSubdominio C2 derivado del host resuelto durante la detonación de la rama nueva
Dominiocdn.testewin.comDominio de respaldo incrustado en el payload de tiempo de ejecución de la rama nueva
ArchivoFatura-BtgPactual-22568.batMuestra de entrada de detonación antigua (SHA256: BC4C29BC0C84EA18311FBADC508F6F3A9D84B54AAB34D6B42F56C0C)
Archivomsedgeupdate.txt / msedge.txtPayload completo de la rama antigua (SHA256: 443C0A821C214471D74B51093AB3D69BB9BEE54DCDA2551E4F12707)
Archivost.php.malwStager de etapa 2, rama nueva (SHA256: E9D918FF5F7918CFF1A3A23F3945058A66B56D6DDC7E1CAB95E166D)
Archivopayload_new.php.malwPayload completo de PowerShell, rama nueva (SHA256: D828949ADE683CF3AC6D4260F946CA33EF8610350EE79EC75DD243B2)
Archivoc9dba5b0552d879be654.txtPayload de tiempo de ejecución extraído del host infectado, coincide con el hash de payload_new.php.malw
Archivoc9dba5b0552d.vbsScript lanzador VBS escrito en ProgramData para la persistencia de la rama nueva
ArchivoMicrosoftEdgeUpdateCore.exeEjecutable con nombre utilizado para la persistencia en la rama de detonación antigua

Nota: Las direcciones IP y los dominios están intencionadamente desactivados (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas controladas de inteligencia de amenazas como MISP, VirusTotal o tu SIEM.



Fuentes:
https://cybersecuritynews.com/banana-rat-uses-exposed-payload-generator/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.