Banana RAT usa nota fiscal para roubar seu Pix
Trojan se passa por nota fiscal eletrônica para roubar credenciais e desviar Pix de 16 bancos brasileiros, usando execução sem arquivo e um motor que gera até 200 versões do malware por hora para escapar dos antivírus.
Jean Oliveira, Especialista em Cibersegurança / CyberProtec
5/26/2026
Pesquisadores da Trend Micro revelaram o Banana RAT, um trojan bancário brasileiro operado pelo grupo SHADOW-WATER-063. A campanha estava ativa em abril de 2026 e mira 16 instituições financeiras, incluindo Itaú, Bradesco, Santander, Caixa, Banco do Brasil, Sicoob e Sicredi, além de corretoras de criptomoedas.
O ataque começa com uma falsa nota fiscal eletrônica enviada por WhatsApp ou e-mail. O arquivo, chamado Consultar_NF-e.bat, ao ser executado, aciona um script que instala o malware diretamente na memória do computador, sem gravar nada no disco. Um servidor FastAPI mantém um pool de 100 a 200 versões únicas do vírus, geradas por quatro processos paralelos, tornando a detecção por assinatura de antivírus essencialmente inútil.
Com o sistema infectado, o criminoso assiste à tela da vítima em tempo real e controla mouse e teclado remotamente. Quando a vítima acessa o site do banco, o malware sobrepõe uma tela falsa de atualização de segurança obrigatória, orientando a não desligar o computador. Enquanto isso, o operador usa a biblioteca ZXing para escanear QR Codes de Pix na tela. O código legítimo é substituído pelo do criminoso, e o dinheiro vai para outra conta. A infraestrutura de distribuição utiliza o domínio convitemundial2026[.]com, enquanto o comando e controle usa cwindowsk-cdn[.]com, que imita uma CDN da Microsoft para disfarçar o tráfego. A Trend Micro coordena com a Febraban para conter a ameaça e compartilhar inteligência com os bancos.
▌ CYBERPROTEC INTELIGÊNCIA
O Banana RAT não é apenas mais um trojan. O motor que mantém até 200 versões únicas em pool mostra que os criminosos estão investindo pesado para vencer os antivírus. A isca é uma nota fiscal eletrônica, algo que empresas recebem diariamente. O clique que infecta não vem da distração, vem da rotina. O malware opera na memória e imita domínios legítimos, escapando das defesas tradicionais. A proteção exige monitoramento de rede e detecção comportamental. A CyberProtec oferece essas camadas contra ameaças que agem antes que o QR Code seja trocado.
CYBERPROTEC LTDA
CNPJ 64.381.517/0001-50
Telefone
info@cyberprotec.site
+55 41 99516-2343
Copyright © 2026 CyberProtec LTDA. Todos os direitos reservados.
Redes sociais
Rua Visconde do Rio Branco 1488, Conj. 909, 9º andar, Centro,
Curitiba - Paraná, 80420-210