Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreihbec6v3k2q4vte2swupijahhty4bxt7ugo56y42lyxorqxng5j7y",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mmcqu5hh6dk2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreihoslifnwlqgcvzihwf7fjwfgajrdxscz3xr5pv32o57csiqxhjvy"
    },
    "mimeType": "image/png",
    "size": 780341
  },
  "path": "/seguranca/413286-banana-rat-virus-criado-por-brasileiros-rouba-pix-de-16-bancos.htm",
  "publishedAt": "2026-05-20T20:30:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança",
    "nossa newsletter",
    "canal do YouTube."
  ],
  "textContent": "Cibercriminosos desenvolveram e distribuem um trojan bancário chamado Banana RAT contra instituições financeiras do país. A campanha foi descoberta pela TrendAI em abril de 2026. Os pesquisadores recuperaram tanto a infraestrutura dos atacantes quanto telemetria de endpoints comprometidos.\n\nO grupo por trás do malware opera exclusivamente contra alvos brasileiros, sendo rastreado como SHADOW-WATER-063. A empresa já compartilha inteligência com a Federação Brasileira de Bancos para proteger instituições e clientes.\n\n## Vítima recebe arquivo falso por WhatsApp\n\nA infecção começa quando a vítima recebe uma isca por WhatsApp ou link de phishing. Na abordagem, há um arquivo malicioso que se disfarça como documento de nota fiscal eletrônica, com o nome “Consultar_NF-e.bat”. A escolha do nome NF-e sugere que os operadores miram usuários corporativos familiarizados com o sistema de faturamento eletrônico brasileiro.\n\nCadeia de infecção em seis etapas: do arquivo .bat inicial até a execução de fraudes via overlay bancário, troca de QR code do Pix e injeção de comandos remotos. Imagem: TrendMicro.\n\nQuando a vítima executa o arquivo em um computador, ele dispara um comando PowerShell oculto. Esse comando baixa uma segunda etapa, chamada “msedge.txt”, de um servidor remoto. O código nunca toca o armazenamento de forma descriptografada, mas roda inteiramente na memória volátil (RAM) do sistema.\n\n## Sistema de ofuscação gera 200 variantes únicas\n\nOs operadores mantêm infraestrutura sofisticada para distribuição, como o uso de servidores FastAPI como base e nove camadas de ofuscação em cada payload. O sistema mantém um pool de 100 a 200 builds únicas pré-geradas e cada requisição de vítima consome uma diferente.\n\nEm outras palavras, isso significa que cada arquivo baixado tem hash único. Por esse motivo, técnicas tradicionais de detecção por assinatura falham completamente. Durante a análise, por exemplo, os pesquisadores encontraram quatro threads paralelas gerando novos payloads constantemente para manter o pool cheio.\n\nDiagrama de infraestrutura do Banana RAT: o servidor FastAPI mantém pool de builds únicos e os distribui um a um para cada vítima, que executa o payload inteiramente na memória. Imagem: TrendMicro.\n\n## Controle total permite fraude em tempo real\n\nO Banana RAT entrega capacidades completas de acesso remoto quando ativo. O operador consegue transmitir a tela da vítima em tempo real via streaming JPEG, com as capturas funcionando com múltiplos monitores e respeitando configurações de resolução.\n\nO malware também injeta controles de mouse e teclado através de APIs Win32. Com isso, o operador pode congelar o input da vítima usando a função BlockInput enquanto opera a máquina remotamente. Um keylogger baseado em GetAsyncKeyState captura todas as teclas digitadas em buffer circular de 2 mil entradas.\n\nTodas as comunicações entre cliente e servidor usam criptografia AES-256-CBC. A chave deriva de uma master key fixa via SHA-256.\n\nPainel de analytics do servidor dos atacantes mostra downloads rastreados por país, horário e sistema operacional — todos os acessos registrados vinham do Brasil. Imagem: TrendMicro.\n\n## Overlay falso esconde transações fraudulentas\n\nA técnica principal de fraude usa sobreposição de tela completa. Quando a vítima abre site bancário, o malware exibe mensagem falsa de atualização de segurança: “Atualização de Segurança obrigatória. NÃO DESLIGUE O COMPUTADOR”.\n\nA tela falsa mostra animação de progresso com quatro etapas simuladas. Enquanto isso, o operador executa transferências não autorizadas na sessão bancária real que roda em segundo plano. A vítima não vê as operações fraudulentas.\n\n## Sistema dedicado intercepta QR codes do Pix\n\nO malware implementa subsistema específico para Pix, utilizando a biblioteca ZXing.NET para detectar e decodificar QR codes na tela.\n\nLista hardcoded de domínios monitorados pelo Banana RAT: o malware vigia portais do Bradesco, Itaú, Santander, Caixa, Banco do Brasil e exchanges de criptomoedas brasileiras. Imagem: TrendMicro.\n\nQuando a vítima tenta pagar a conta via QR, o malware substitui os dados do código. O dinheiro vai direto para conta dos criminosos. Essa funcionalidade só existe para o mercado brasileiro, uma vez que o alvo é a tecnologia Pix.\n\n## Lista de alvos inclui 16 instituições brasileiras\n\nOs pesquisadores encontraram uma lista com 16 alvos diretamente no código-fonte do frontend. Todos são instituições financeiras brasileiras ou exchanges de criptomoedas localizadas para o mercado nacional.\n\nA lista inclui, entre outros:\n\n  * Itaú;\n  * Bradesco;\n  * Santander Brasil;\n  * Caixa;\n  * Banco do Brasil;\n  * Safra;\n  * Banrisul;\n  * Daycoval;\n  * Sicoob;\n  * Sicredi.\n\n\n\nA análise de infraestrutura revelou impressões digitais consistentes. O motor de polimorfismo carimba cada payload com o cabeçalho \"PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)\". O qualificador de edição e número de versão sugerem um linha de produto em atualização.\n\nTrecho do msedge.txt com o texto da tela falsa de atualização de segurança — a mensagem usa o nome do usuário e da máquina para parecer legítima. Imagem: TrendMicro.\n\n## Similaridade com ecossistema Tetrade\n\nO Banana RAT compartilha capacidades com a família Tetrade de trojans bancários brasileiros, como Grandoreiro, Mekotio, Casbaneiro e CHAVECLOAK. O overlay bancário de tela cheia é comportamento definidor dessa família.\n\nCódigo do módulo QROverlay descompilado: a classe detecta sessões bancárias ativas e aciona a sobreposição de tela conforme o banco identificado. Imagem: TrendMicro.\n\nMas as diferenças arquiteturais o distinguem dos demais: o Banana RAT é um cliente PowerShell orquestrado por servidor Python. Além disso, o sistema de polimorfismo por vítima excede o documentado para outros membros da família. A infraestrutura também não sobrepõe com indicadores publicados de Grandoreiro até o momento da análise.\n\nAcompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "Banana RAT: vírus criado por brasileiros rouba PIX de 16 bancos"
}