สรุปสั้น

มัลแวร์ขโมยข้อมูลธนาคารได้รับการยกระดับครั้งสำคัญในเรื่องการซ่อนตัวจากทีมความปลอดภัย เมื่อแคมเปญที่สร้างขึ้นรอบ Banana RAT ซึ่งเป็นโทรจันควบคุมระยะไกล (remote access trojan) ที่ผูกกับการฉ้อโกงธนาคารในบราซิลมานาน ถูกจับได้ว่าใช้เซิร์ฟเวอร์เบื้องหลังที่เปิดโล่งในการสร้างมัลแวร์เวอร์ชันใหม่ตามคำสั่ง เซิร์ฟเวอร์นี้ไม่ได้เป็นเพียงที่เก็บไฟล์อันตราย แต่รันเครื่องมือที่ทำงานได้จริงซึ่งสามารถผลิต payload ที่พรางตัวต่างกันออกมาใหม่ได้ทุกครั้งที่ผู้โจมตีต้องการ

การค้นพบของนักวิจัย นาย Moises Cerqueira เริ่มจากดัชนีสาธารณะ (public index) ที่พบบนหมายเลข IP เดียว ซึ่งเปิดโล่งและค้นเจอได้ผ่านการสแกนอินเทอร์เน็ตตามปกติ แทนที่จะเป็นตัวอย่างมัลแวร์แบบตายตัว นักวิจัยกลับพบแพลตฟอร์มส่งมัลแวร์ที่ทำงานได้จริง พร้อมเครื่องสร้าง payload และสคริปต์ทำให้โค้ดอ่านยาก (obfuscation) วางอยู่ข้าง ๆ ไฟล์อันตราย ตามรายงานที่แบ่งปันโดยบริษัท ANY.RUN โครงสร้างพื้นฐานชิ้นเดียวนี้ผลิต Banana RAT ออกมาได้สองเวอร์ชันที่ต่างกันภายในไม่กี่สัปดาห์ โดย ANY.RUN ระบุชุดที่เปิดโล่งนี้ด้วยการนำไปรันในแซนด์บ็อกซ์ แล้วใช้ติดตามว่ามัลแวร์เปลี่ยนไปอย่างไรระหว่างการจุดชนวนสองครั้ง คือปลายเดือนพฤษภาคม 2569 และต้นเดือนมิถุนายน 2569 Banana RAT มุ่งเป้ากิจกรรมทางการเงินโดยตรง เน้นขโมยข้อมูลรับรองธนาคารและแทรกแซงธุรกรรมการชำระเงิน ความสามารถในการสร้างตัวเองใหม่ในรูปแบบต่าง ๆ ทำให้การป้องกันที่อาศัยรายชื่อ indicator (blocklist) เชื่อถือได้น้อยลงเรื่อย ๆ

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 8 กรกฎาคม 2569 ว่านักวิจัย นาย Moises Cerqueira ค้นพบเซิร์ฟเวอร์ที่เปิดโล่งซึ่งทำหน้าที่เป็นแพลตฟอร์มผลิตและส่งมัลแวร์ Banana RAT โดยอ้างอิงรายงานจากบริษัท ANY.RUN ที่นำโครงสร้างพื้นฐานดังกล่าวไปวิเคราะห์ในแซนด์บ็อกซ์

เซิร์ฟเวอร์ที่เปิดโล่งนี้รันสคริปต์ชื่อ servidor_completo_pool.py ซึ่งเป็นบริการเบื้องหลังที่ออกแบบมาเพื่อสร้าง payload ล่วงหน้าเป็นชุด (batch) แทนที่จะสร้างทีละไฟล์ โดยดึงไฟล์ต้นทางจาก web directory และเปิดหลายที่อยู่เว็บให้สามารถอุ่นเครื่อง (warm up) กลุ่ม payload รายงานสถิติ และส่งไฟล์ที่เสร็จแล้ว บ่งชี้ว่าเป็นเครื่องสร้าง (builder) ที่ออกแบบมาเพื่อผลิตมัลแวร์สำเนาใหม่อย่างต่อเนื่อง ไม่ใช่ไฟล์ตายตัวไฟล์เดียวที่หลงลืมทิ้งไว้ออนไลน์

วางอยู่ข้าง ๆ กันคือสคริปต์ตัวที่สองชื่อ ofuscador.py ซึ่งรับคำสั่ง PowerShell ธรรมดาแล้วเขียนใหม่ให้กลายเป็นลำดับอักขระที่สับสน โดยจะถูกประกอบกลับและรันในเวลาที่ทำงานจริง กลเม็ดนี้ทำให้มัลแวร์ฐานเดียวกันมีหน้าตาต่างออกไปทุกครั้งที่ตกถึงเครื่องใหม่ เพราะรายละเอียดพื้นผิวเปลี่ยนไปเรื่อย ๆ ขณะที่พฤติกรรมเบื้องหลังยังคงเดิม ดัชนีสาธารณะที่เปิดโล่งนี้พบที่หมายเลข IP 198.245.53.26

Banana RAT uses exposed payload generator to create polymorphic banking malware variants

วิธีการโจมตี

การเปรียบเทียบ Banana RAT สองเวอร์ชันเคียงข้างกันให้ภาพชัดเจนว่าผู้ปฏิบัติการโทรจันธนาคารปรับปรุงเทคนิคหลบเลี่ยงแบบเกือบเรียลไทม์อย่างไร เวอร์ชันแรกที่จุดชนวนช่วงปลายเดือนพฤษภาคมอาศัยชื่อไฟล์และเส้นทางโฟลเดอร์แบบตายตัวที่ออกแบบให้ดูเหมือนส่วนประกอบอัปเดตของ Windows ของแท้ ใช้โดเมนเลียนแบบที่สะกดผิด ซึ่งเป็นรายละเอียดที่ทำให้สังเกตได้ง่ายขึ้นเมื่อฝ่ายป้องกันจับความไม่เข้ากันได้ และสร้าง persistence ด้วย scheduled task ที่ผูกกับไฟล์รันชื่อเฉพาะ ทำให้นักวิเคราะห์มีลายนิ้วมือที่คงที่ไว้ติดตาม

เวอร์ชันใหม่ที่พบช่วงต้นเดือนมิถุนายนละทิ้งโครงสร้างที่คาดเดาได้นั้นไปทั้งหมด โฟลเดอร์ติดตั้งและชื่อไฟล์ถูกสุ่มขึ้นใหม่สำหรับเครื่องที่ติดมัลแวร์แต่ละเครื่อง และเปลี่ยน persistence ไปใช้ตัวเรียก VBS คู่กับ scheduled task ที่ซ่อนไว้และรันด้วยสิทธิ์ระดับระบบ (system-level) การสื่อสารกับเซิร์ฟเวอร์ผู้โจมตีเกิดขึ้นผ่านช่อง WebSocket ที่เข้ารหัส โดยใช้ที่อยู่ที่สร้างจากตัวระบุแบบแฮช (hashed identifier) ซึ่งไม่ซ้ำกันในแต่ละเครื่องที่ติดมัลแวร์ ทำให้การบล็อกโดเมนแบบง่าย ๆ ได้ผลน้อยลงมาก อย่างไรก็ตาม มีรายละเอียดหนึ่งที่คงเดิมในทั้งสองเวอร์ชัน คือหมายเลข IP สำรอง (fallback) ที่ฝังอยู่ในโค้ด ซึ่งเชื่อมโยงเวอร์ชันใหม่กลับไปยังโครงสร้างพื้นฐานเดิมโดยตรง

ผลกระทบต่อไทย

แม้ Banana RAT จะผูกกับการฉ้อโกงธนาคารในบราซิลเป็นหลัก แต่เทคนิคที่ใช้สะท้อนแนวโน้มที่ผู้ดูแลระบบและธนาคารในไทยควรจับตา นั่นคือมัลแวร์ธนาคารที่สร้างตัวเองใหม่แบบ polymorphic ผ่านเครื่องสร้าง payload อัตโนมัติ ทำให้การป้องกันที่พึ่งพารายชื่อ hash หรือโดเมนเพียงอย่างเดียวเสื่อมประสิทธิภาพลงอย่างรวดเร็ว สถาบันการเงินและผู้ให้บริการชำระเงินในไทยจึงควรเน้นการตรวจจับเชิงพฤติกรรม เช่น การสร้าง scheduled task ที่ผิดปกติ กิจกรรม PowerShell ที่ซ่อนอยู่ และการสื่อสาร WebSocket ต้องสงสัย มากกว่าการรอให้ตรงกับ indicator ที่รู้จัก เพราะรูปแบบการโจมตีที่ใช้ payload generator เช่นนี้สามารถถูกนำไปปรับใช้กับโทรจันที่มุ่งเป้าธนาคารไทยได้ในอนาคต

คำแนะนำ

ทีมความปลอดภัยควรบล็อกทราฟฟิกที่เชื่อมโยงกับ indicator ที่ทราบด้านล่าง เฝ้าระวัง scheduled task ที่ถูกสร้างขึ้นภายใต้ชื่อที่น่าสงสัย และถือว่ากิจกรรม PowerShell ที่ซ่อนอยู่แบบไม่คาดคิดเป็นสัญญาณเตือนที่ควรตรวจสอบ นอกจากนี้ควรเสริมการตรวจจับเชิงพฤติกรรมสำหรับ persistence ที่ใช้ตัวเรียก VBS และการเชื่อมต่อ WebSocket ที่เข้ารหัส และให้ความสำคัญกับการติดตามหมายเลข IP สำรองที่ฝังในโค้ด ซึ่งมักเป็นจุดเชื่อมโยงเวอร์ชันเก่ากับใหม่เข้าด้วยกัน แม้ตัวมัลแวร์จะเปลี่ยนรูปไปเรื่อย ๆ ก็ตาม

Indicators of Compromise (IoCs)

ตัวบ่งชี้ทั้งหมดถูก defang แล้ว ([.]) เพื่อความปลอดภัย ต้อง re-fang เฉพาะในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM

IP address

Indicatorรายละเอียด
198[.]245[.]53[.]26เซิร์ฟเวอร์ staging โฮสต์เครื่องสร้าง payload และสคริปต์ obfuscation
149[.]56[.]12[.]51IP C2 สำรองที่ใช้ร่วมกันทั้งเวอร์ชันเก่าและใหม่
104[.]21[.]39[.]172Cloudflare edge IP ที่ resolve ให้โดเมน WebSocket C2 ของเวอร์ชันใหม่
67[.]142[.]55Cloudflare edge IP ที่ resolve ให้โดเมน WebSocket C2 ของเวอร์ชันใหม่

Domain

Indicatorรายละเอียด
c.windowns-cdn[.]comโดเมน C2 ปลอมเลียน Microsoft ที่ใช้ในเวอร์ชันเก่า
testewin[.]comโดเมนหลักสำหรับ subdomain WebSocket C2 แบบแฮชของเวอร์ชันใหม่
52facc3b24f8bad9c5c56819e385f3a1.testewin[.]comsubdomain C2 ที่สร้างจากค่าแฮชของเครื่องเหยื่อในเวอร์ชันใหม่
cdn.testewin[.]comโดเมนสำรองที่ฝังใน payload ของเวอร์ชันใหม่

ไฟล์ (SHA256 ตัดย่อจากต้นฉบับ)

Indicatorรายละเอียด
Fatura-BtgPactual-22568.batไฟล์ตัวอย่างเริ่มต้นของเวอร์ชันเก่า (SHA256: BC4C29BC0C84EA18311FBADC508F6F3A9D84B54AAB34D6B42F56C0C)
msedgeupdate.txt / msedge.txtpayload เต็มของเวอร์ชันเก่า (SHA256: 443C0A821C214471D74B51093AB3D69BB9BEE54DCDA2551E4F12707)
st.php.malwstager ขั้นที่ 2 ของเวอร์ชันใหม่ (SHA256: E9D918FF5F7918CFF1A3A23F3945058A66B56D6DDC7E1CAB95E166D)
payload_new.php.malwPowerShell payload เต็มของเวอร์ชันใหม่ (SHA256: D828949ADE683CF3AC6D4260F946CA33EF8610350EE79EC75DD243B2)
c9dba5b0552d879be654.txtpayload รันไทม์ที่ดึงจากเครื่องเหยื่อ ตรงกับ hash ของ payload_new.php.malw
c9dba5b0552d.vbsสคริปต์ตัวเรียก VBS ที่เขียนลง ProgramData เพื่อ persistence ของเวอร์ชันใหม่
MicrosoftEdgeUpdateCore.exeไฟล์รันชื่อเฉพาะที่ใช้ทำ persistence ในเวอร์ชันเก่า

แหล่งอ้างอิง