Uma nova campanha de malware focada no setor financeiro brasileiro foi identificada por pesquisadores da Trend Micro, utilizando documentos de nota fiscal eletrônica (NF-e) como isca para distribuir um trojan bancário conhecido como Banana RAT. A operação, rastreada sob o nome de código SHADOW-WATER-063, explora a confiança dos usuários nos sistemas oficiais de emissão de notas fiscais para entregar arquivos batch maliciosos que instalam ferramentas de acesso remoto em sistemas Windows.
Campanha SHADOW-WATER-063 e contexto
A campanha tem sido ativa e contínua, direcionando especificamente instituições financeiras e empresas de criptomoedas localizadas no Brasil. A sofisticação do ataque sugere a atuação de um ator de ameaça bem organizado e com recursos significativos. A equipe de Managed Detection and Response (MDR) da Trend Micro recuperou tanto as ferramentas do lado do servidor quanto o malware do lado do cliente, proporcionando uma visão completa da cadeia de ataque.
Os analistas acreditam que a operação pode estar operando sob um modelo de Malware-as-a-Service (MaaS), onde o acesso à plataforma é potencialmente revendido para afiliados. O código interno do servidor foi escrito inteiramente em português do Brasil, e o projeto carrega o codinome interno "Projeto Banana", apontando para um conjunto de ferramentas bem mantido e ativamente desenvolvido.
Vetor de ataque e engenharia social
O ataque começa quando a vítima baixa e executa um arquivo batch malicioso, geralmente enviado via mensagens do WhatsApp ou links de phishing. O arquivo é nomeado para parecer legítimo, como "Consultar_NF-e.bat", explorando a familiaridade dos usuários com o sistema oficial de faturamento eletrônico do país.
Uma vez executado, o arquivo batch aciona um comando oculto do PowerShell que busca silenciosamente um script de staging de um servidor controlado pelo atacante. Esse script, por sua vez, baixa um payload criptografado com AES-256 chamado "msedge.txt". O payload é descriptografado inteiramente na memória, o que significa que nenhum arquivo não criptografado toca no disco rígido da vítima, dificultando a detecção por ferramentas de segurança tradicionais.
Análise técnica do malware Banana RAT
Uma vez ativo na máquina da vítima, o Banana RAT funciona como uma plataforma completa de fraude e vigilância remota. O malware estabelece persistência registrando uma tarefa agendada oculta que inicia o PowerShell a cada minuto por até 9.999 dias. Os arquivos do malware são disfarçados dentro de um caminho de diretório que imita o armazenamento de diagnóstico legítimo da Microsoft, projetado para se misturar completamente com arquivos do sistema confiáveis.
A pipeline de construção polimórfica gera um payload byte-único para cada solicitação de vítima, tornando a detecção baseada em hash de arquivo essencialmente inútil contra esta campanha em escala. O malware se conecta ao seu servidor de comando e controle (C2) na porta 443 usando um protocolo binário personalizado criptografado com AES-256-CBC.
Capacidades de fraude e vigilância
O Banana RAT inclui um subsistema dedicado exclusivamente ao Pix, o sistema de pagamentos instantâneos do Banco Central do Brasil. Ele transmite a tela da vítima em tempo real para o operador, registra todas as digitações, injeta overlays bancários falsos que imitam convincentemente telas de atualização de segurança e pode interceptar ou substituir códigos QR do Pix durante transações de pagamento ao vivo.
O malware também utiliza um domínio de typosquatting projetado para impersonar a infraestrutura legítima da CDN da Microsoft, com endereços IP de fallback embutidos para redundância caso o domínio seja interrompido. A infraestrutura de ataque inclui domínios como "conviTemundial2026[.]com" para distribuição e "windowsk-cdn[.]com" para o servidor C2.
Indicadores de comprometimento (IOCs)
Os defensores são aconselhados a bloquear todos os indicadores de rede identificados na periferia. Abaixo estão os principais IOCs recuperados pela equipe de pesquisa:
| Tipo | Indicador | Descrição |
|---|---|---|
| Nome do Arquivo | Consultar_NF-e.bat | Arquivo batch malicioso usado como isca inicial (isca de nota fiscal) |
| Nome do Arquivo | st.txt / st.php | Stager inicial do PowerShell; baixa e executa o próximo payload |
| Nome do Arquivo | msedge.txt | Segundo payload principal; funcionalidade do trojan de acesso remoto |
| Domínio | conviTemundial2026[.]com | Domínio de entrega usado para distribuir o arquivo malicioso |
| Domínio | windowsk-cdn[.]com | Domínio do servidor C2; typosquatting da CDN da Microsoft |
| Endereço IP | 162.141.111[.]227 | Endereço IP de fallback do servidor C2; porta 443 (TLS/SSL) |
Recomendações para CISOs e equipes de SOC
Para mitigar os riscos desta campanha, as organizações devem adotar as seguintes medidas imediatas:
- Monitoramento de Comportamento: Habilitar monitoramento comportamental em tempo real nos endpoints para detectar atividades anômalas do PowerShell e tarefas agendadas suspeitas.
- Controle de Aplicativos: Bloquear a execução de scripts batch (.bat) e PowerShell não assinados em estações de trabalho financeiras.
- Conscientização: Treinar usuários para serem suspeitos de qualquer overlay bancário inesperado em tela cheia ou prompts de QR code durante sessões bancárias ativas.
- Bloqueio de Rede: Implementar regras de firewall para bloquear os domínios e endereços IP listados nos IOCs acima.
Implicações regulatórias e LGPD
Este ataque destaca riscos significativos para a conformidade com a Lei Geral de Proteção de Dados (LGPD). O comprometimento de credenciais bancárias e a interceptação de transações podem resultar em vazamento de dados pessoais sensíveis e financeiros. As organizações devem considerar a notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados em caso de violação confirmada, seguindo os prazos e diretrizes estabelecidos pela legislação brasileira.
Perguntas frequentes
Qual é o principal vetor de infecção? Arquivos batch maliciosos disfarçados de consultas de nota fiscal eletrônica (NF-e).
O malware é detectável por antivírus tradicional? A descriptografia em memória e a construção polimórfica dificultam a detecção baseada em assinatura, exigindo soluções baseadas em comportamento.
Quais setores estão mais visados? Instituições financeiras brasileiras e exchanges de criptomoedas localizadas no país.