Banana RAT di SHADOW-WATER-063 contro banche brasiliane. L’analisi

Trend Micro rivela una nuova operazione cybercriminale attribuita al gruppo SHADOW-WATER-063, responsabile dello sviluppo e della distribuzione di Banana RAT, un trojan bancario avanzato progettato per colpire clienti di almeno 16 banche brasiliane e infrastrutture aziendali strategiche. Il report pubblicato il 21 maggio 2026 descrive un malware sofisticato che combina phishing via WhatsApp, payload PowerShell eseguiti completamente in-memory e funzionalità RAT complete per controllo remoto, keylogging e streaming dello schermo in tempo reale. Gli attaccanti utilizzano false fatture digitali per convincere le vittime a eseguire file batch malevoli che scaricano il payload principale e trasformano il dispositivo infetto in uno strumento per frodi bancarie dirette. L’operazione rappresenta una evoluzione significativa delle minacce finanziarie in America Latina, perché unisce compromissione aziendale, furto di sessioni e manipolazione live delle operazioni di home banking. SHADOW-WATER-063 gestisce internamente l’intera catena operativa: accesso iniziale, distribuzione malware, persistenza, monitoraggio delle vittime e monetizzazione finale. Gli operatori utilizzano inoltre server di build aziendali come punti di ingresso privilegiati per espandere l’attacco verso utenti retail e reti corporate. Banana RAT, noto internamente come Projeto Banana, mostra un livello di maturità elevato grazie a build polimorfiche, cifratura AES-256, infrastruttura C2 dedicata e tecniche anti-analisi avanzate. Le indagini di Trend Micro Managed Detection and Response ricostruiscono l’intera architettura operativa del gruppo e mostrano come il malware non si limiti al furto di credenziali ma permetta agli attaccanti di controllare attivamente le sessioni bancarie delle vittime durante i trasferimenti di denaro.

SHADOW-WATER-063 utilizza build server aziendali per espandere gli attacchi

SHADOW-WATER-063 appare come una organizzazione cybercrime altamente strutturata che utilizza Banana RAT come piattaforma principale per operazioni finanziarie su larga scala. Il gruppo compromette inizialmente server di build aziendali per ottenere accesso privilegiato alle reti corporate e sfruttare infrastrutture spesso meno monitorate rispetto agli endpoint tradizionali. Una volta ottenuto l’accesso, gli operatori distribuiscono il malware verso dipendenti e utenti esterni attraverso campagne mirate che sfruttano la fiducia nei processi amministrativi e fiscali. Trend Micro ricostruisce il flusso completo e conferma che il gruppo mantiene infrastrutture dedicate per ogni fase dell’operazione, dal phishing iniziale fino al controllo remoto live delle vittime. L’utilizzo dei build server consente agli attaccanti di ottenere credenziali privilegiate, accessi interni e capacità di movimento laterale all’interno delle reti aziendali. Da questi sistemi, gli operatori preparano e personalizzano le varianti di Banana RAT destinate ai target successivi.

Il malware viene poi distribuito principalmente tramite messaggi WhatsApp che simulano comunicazioni fiscali ufficiali. Questa combinazione di compromissione corporate e phishing consumer aumenta notevolmente la superficie d’attacco e consente a SHADOW-WATER-063 di operare contemporaneamente contro aziende e utenti finali. Il gruppo dimostra una conoscenza approfondita sia delle pratiche di sviluppo software sia delle abitudini di home banking diffuse in Brasile. Banana RAT non appare come un tool commodity generico ma come un progetto sviluppato specificamente per il mercato finanziario brasiliano. Il nome interno Projeto Banana emerge direttamente dai metadati e dai riferimenti trovati nel codice. Trend Micro evidenzia inoltre come il gruppo aggiorni continuamente il malware per migliorare evasione, persistenza e compatibilità con le interfacce delle banche target. L’intera operazione mostra un modello estremamente orientato al profitto, dove ogni componente dell’infrastruttura viene ottimizzato per massimizzare la velocità della frode e ridurre il tempo di rilevamento.

Le fake invoice su WhatsApp distribuiscono payload PowerShell completamente in-memory

Il vettore di infezione principale utilizzato da SHADOW-WATER-063 sfrutta messaggi WhatsApp che simulano fatture ufficiali e comunicazioni fiscali apparentemente legittime. Gli utenti ricevono allegati con nomi come Consultar_NF-e.bat, che sembrano documenti amministrativi collegati a fatture elettroniche brasiliane. Quando la vittima esegue il file batch, il sistema scarica un secondo file chiamato msedge.txt, contenente il payload PowerShell offuscato che avvia l’infezione vera e propria. La tecnica sfrutta l’elevata fiducia degli utenti brasiliani nei documenti fiscali digitali e aggira molti filtri di sicurezza iniziali che non classificano immediatamente i file batch come minacce critiche. Il file batch agisce come dropper e prepara l’ambiente locale per il caricamento del malware principale.

Una volta eseguito, il codice PowerShell decodifica e carica in memoria il payload completo di Banana RAT senza scrivere file persistenti sul disco. La cifratura AES-256 protegge il codice durante il trasferimento e l’esecuzione, rendendo molto più complessa l’analisi da parte di antivirus tradizionali e sistemi EDR focalizzati sui file persistenti. Questo approccio completamente in-memory riduce drasticamente la superficie osservabile dai motori antimalware convenzionali. Gli utenti credono di aprire semplicemente una fattura o una notifica commerciale e attivano inconsapevolmente il malware completo. WhatsApp rappresenta un vettore particolarmente efficace in Brasile, dove molte comunicazioni amministrative e commerciali vengono effettivamente condivise tramite la piattaforma. SHADOW-WATER-063 testa continuamente varianti dei messaggi e degli allegati per migliorare il tasso di successo dell’ingegneria sociale. Trend Micro osserva centinaia di campioni differenti ma conferma una struttura operativa coerente tra tutte le campagne identificate.

Banana RAT utilizza cifratura AES-256 e build polimorfiche contro antivirus e sandbox

Uno degli elementi più sofisticati di Banana RAT riguarda le tecniche di evasione implementate dagli sviluppatori del malware. Il payload principale viene protetto tramite cifratura AES-256 e decodificato soltanto durante l’esecuzione in memoria. Questa strategia limita fortemente l’efficacia delle analisi statiche e complica il reverse engineering del malware. SHADOW-WATER-063 genera inoltre build polimorfiche per ogni campagna, modificando costantemente stringhe, funzioni e struttura del codice pur mantenendo invariato il comportamento operativo finale. Le build polimorfiche costringono i ricercatori a riesaminare continuamente nuove varianti e rallentano il lavoro dei team di threat hunting. Il malware integra anche controlli anti-debug e anti-sandbox capaci di rilevare ambienti virtualizzati o strumenti di analisi. Se rileva condizioni sospette, Banana RAT interrompe l’esecuzione o attiva percorsi alternativi per evitare il rilevamento.

L’architettura del RAT appare modulare e separa chiaramente persistenza, esfiltrazione, controllo remoto e gestione delle sessioni bancarie. Questo approccio consente agli sviluppatori di aggiornare singoli moduli senza modificare completamente l’infrastruttura. Trend Micro sottolinea che il malware riesce spesso a rimanere operativo sulle macchine infette per settimane prima di essere identificato. Gli operatori investono tempo e risorse nella qualità del codice, puntando alla massima stabilità possibile durante le operazioni finanziarie. Banana RAT dimostra quindi un livello di maturità molto superiore rispetto ai tradizionali trojan bancari diffusi tramite spam generico. Il gruppo combina tecniche da RAT enterprise, malware fileless e strumenti di frode bancaria in un’unica piattaforma estremamente adattabile.

Il controllo remoto live permette frodi bancarie in tempo reale

La caratteristica più pericolosa di Banana RAT riguarda il controllo remoto in tempo reale delle sessioni bancarie delle vittime. Il malware integra funzionalità di screen streaming live che consentono agli operatori di osservare esattamente ciò che l’utente vede durante l’utilizzo del computer. Il keylogger cattura ogni tasto premuto e invia immediatamente le informazioni al server C2. Questa combinazione permette agli attaccanti di intervenire durante le operazioni di home banking e modificare direttamente bonifici, destinatari o importi. La funzione BlockInput blocca temporaneamente tastiera e mouse, impedendo alla vittima di reagire mentre gli operatori eseguono trasferimenti fraudolenti. Gli utenti vedono il cursore muoversi autonomamente e assistono impotenti all’esecuzione delle transazioni.

SHADOW-WATER-063 perfeziona il timing delle operazioni per massimizzare il successo prima che i sistemi antifrode delle banche rilevino anomalie. Il malware ruba anche cookie di sessione, token e credenziali memorizzate nei browser per mantenere accesso persistente agli account finanziari. Gli operatori utilizzano moduli dedicati per almeno 16 banche brasiliane, ottimizzati per riconoscere layout, flussi di autenticazione e procedure specifiche delle singole istituzioni finanziarie. Questa personalizzazione aumenta notevolmente l’efficacia della frode e riduce gli errori durante le operazioni live. Trend Micro documenta casi in cui i criminali completano trasferimenti di migliaia di real nel giro di pochi secondi. Il livello di precisione operativa mostra un approccio quasi industriale alla frode bancaria online. Banana RAT non agisce quindi come semplice infostealer ma come piattaforma completa per il controllo remoto delle operazioni finanziarie.

Banana RAT colpisce contemporaneamente utenti retail e infrastrutture corporate

Il malware prende di mira sia clienti retail sia infrastrutture aziendali, ampliando enormemente il potenziale impatto economico dell’operazione. Le 16 banche brasiliane target vengono attaccate tramite moduli specifici che riconoscono automaticamente pagine di login, schermate di autenticazione e flussi di pagamento. Allo stesso tempo, i server di build aziendali rappresentano un obiettivo strategico per ottenere accesso privilegiato a reti corporate e ambienti di sviluppo. Una volta compromessi, questi sistemi diventano piattaforme di lancio per ulteriori campagne e consentono agli attaccanti di sottrarre credenziali di sviluppo, proprietà intellettuale e dati sensibili aziendali. Le vittime retail perdono direttamente fondi dai conti bancari, mentre le aziende subiscono compromissioni indirette che possono estendersi all’intera infrastruttura interna.

La combinazione di target corporate e consumer rende l’operazione particolarmente pericolosa per l’intero ecosistema finanziario brasiliano. SHADOW-WATER-063 non punta a piccoli guadagni isolati ma a una scalabilità elevata che consenta di massimizzare i profitti. Trend Micro identifica centinaia di sistemi infetti collegati alla stessa infrastruttura C2 e osserva una crescita continua delle campagne. L’operazione dimostra come i moderni gruppi cybercrime integrino tecniche da APT, malware bancari e strumenti di accesso remoto in una struttura unificata orientata esclusivamente alla monetizzazione rapida. Questo approccio rende le difese tradizionali sempre meno efficaci contro minacce che operano simultaneamente a livello endpoint, rete e sessione utente.

Trend Micro invita aziende e banche a rafforzare immediatamente le difese

Trend Micro Managed Detection and Response pubblica indicatori di compromissione dettagliati che includono domini C2, hash dei payload e pattern di rete associati a Banana RAT. I team di sicurezza possono utilizzare queste informazioni per bloccare traffico sospetto e identificare eventuali compromissioni già presenti all’interno delle reti aziendali. Le organizzazioni vengono invitate a rafforzare il monitoraggio comportamentale di PowerShell, soprattutto nei casi di esecuzione in-memory e connessioni verso server esterni non riconosciuti. Le banche devono potenziare i sistemi antifrode con autenticazione contestuale, analisi comportamentale e monitoraggio in tempo reale delle sessioni di home banking. Gli utenti brasiliani vengono invece invitati a verificare attentamente messaggi WhatsApp, allegati fiscali e richieste di download apparentemente legittime.

Le aziende che utilizzano server di build devono applicare segmentazione di rete, controlli di accesso rigorosi e monitoring continuo delle attività privilegiate. Banana RAT mostra come il cybercrime finanziario moderno stia evolvendo rapidamente da semplici infostealer verso piattaforme complete per frodi bancarie automatizzate e controllo remoto live. SHADOW-WATER-063 continua ad aggiornare il malware per mantenere efficacia operativa e capacità di evasione. Secondo Trend Micro, le difese tradizionali non bastano più contro malware completamente in-memory e campagne basate su ingegneria sociale avanzata. Le organizzazioni devono adottare approcci zero-trust e investire in servizi MDR capaci di intercettare attività anomale prima che generino perdite economiche significative. L’operazione Banana RAT rappresenta quindi una minaccia concreta non solo per il Brasile ma per tutte le aziende globali con presenza finanziaria e operativa nella regione.