AllaSenha: Den mobile malware, der truer brasilianske banker
Brasilianske bankinstitutioner er blevet mål for en sofistikeret cyberangrebskampagne, der involverer en tilpasset variant af den Windows-baserede AllaKore remote access trojan (RAT), nu kendt som AllaSenha. Her dykker vi ned i de tekniske forviklinger af AllaSenha, dens angrebsvektor og dens implikationer for brasilianske banker og deres kunder.
Table of Contents
AllaSenha-kampagnen
AllaSenha er specielt udviklet til at stjæle legitimationsoplysninger, der er nødvendige for at få adgang til brasilianske bankkonti. Ved at udnytte Azure cloud-tjenester til sin kommando-og-kontrol-infrastruktur (C2) repræsenterer malwaren en betydelig udvikling i cybertrusler rettet mod finansielle institutioner.
Målrettede finansielle institutioner
Kampagnen er rettet mod store brasilianske banker som Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob og Sicredi. Selvom den præcise metode til indledende infektion forbliver usikker, menes det kraftigt, at phishing-meddelelser, der indeholder ondsindede links, er den primære vektor.
Angrebsinitiering og Malware-implementering
Angrebet begynder typisk med en ondsindet Windows-genvejsfil (LNK) forklædt som et PDF-dokument, "NotaFiscal.pdf.lnk", som har været hostet på en WebDAV-server siden marts 2024. Når først den er lanceret, udfører denne LNK-fil en Windows-kommandoskall . Skallen åbner en lokke-PDF-fil for at distrahere modtageren, mens den samtidig henter en batch script (BAT) nyttelast med navnet "c.cmd" fra den samme WebDAV-server.
BPyCode Launcher
Denne BAT-nyttelast, der er døbt BPyCode-starteren, udløser en Base64-kodet PowerShell-kommando. Kommandoen downloader derefter Python-binæren fra den officielle hjemmeside for at udføre et Python-script ved navn BPyCode. BPyCode er en downloader til et dynamisk linkbibliotek (DLL) kaldet "executor.dll", som kører i hukommelsen. DLL'en hentes fra domænenavne genereret via en domænegenereringsalgoritme (DGA), ofte forbundet med Microsoft Azure Functions-tjenesten til dynamisk infrastrukturimplementering.
Multi-trins levering af nyttelast
BPyCode-scriptet henter en pickle-fil, der indeholder tre komponenter: et andet Python-loader-script, et ZIP-arkiv med PythonMemoryModule-pakken og et andet ZIP-arkiv, der indeholder "executor.dll." Det nye Python-loader-script bruger PythonMemoryModule til at indlæse "executor.dll", en Borland Delphi-baseret malware ved navn ExecutorLoader, direkte i hukommelsen. ExecutorLoaders primære rolle er at afkode og eksekvere AllaSenha ved at injicere det i en legitim mshta.exe-proces.
Legitimationstyveri og omgåelse af to-faktor-godkendelse
AllaSenhas primære mål er at stjæle netbankoplysninger fra webbrowsere. Derudover kan den vise overlejringsvinduer for at fange to-faktor-godkendelseskoder (2FA). Det kan endda bedrage ofre til at scanne en QR-kode for at godkende svigagtige transaktioner, som angriberne har iværksat. Denne sofistikerede metode tillader malware at omgå standard sikkerhedsforanstaltninger, hvilket udgør en alvorlig risiko for banksikkerheden.
Links til KL Gorki Project
Alle AllaSenha-eksempler bruger filnavnet "Access_PC_Client_dll.dll." Dette filnavn er også forbundet med KL Gorki-projektet, en bank-malware, der kombinerer komponenter fra AllaKore og ServerSocket. Desuden er en portugisisktalende bruger ved navn bert1m blevet identificeret som en potentiel udvikler af malwaren, selvom der ikke er noget konkret bevis, der forbinder dem med dets drift.
Bredere implikationer og regionale tendenser
AllaSenha-kampagnen fremhæver en bredere tendens til cyberkriminalitet, der stammer fra Latinamerika. Cyberkriminelle i denne region ser ud til at være særligt dygtige til at lancere kampagner for at stjæle bankoplysninger. Mens deres primære mål er enkeltpersoner i Latinamerika, kompromitterer de ofte systemer, der drives af datterselskaber eller ansatte i internationale virksomheder baseret i Brasilien, hvilket udvider deres globale rækkevidde.
Andre banktrojanske heste i regionen
Fremkomsten af AllaSenha er en del af et større mønster af trojanske bankangreb i Latinamerika. For eksempel beskrev Forcepoint for nylig malspam-kampagner, der distribuerede en anden banktrojaner, Casbaneiro (alias Metamorfo og Ponteiro), med det formål at suge ofrenes økonomiske oplysninger. Denne malware, der distribueres via HTML-vedhæftninger i e-mails, lokker brugere til at udføre ondsindet kode, hvilket fører til kompromittering af data.
Android Banking Trojans: A Parallel Threat
Windows er ikke den eneste platform under angreb. Der er også en Android-bank malware-kampagne, der involverer Anatsa (TeaBot og Toddler). Disse angreb bruger lokkeprogrammer, der er uploadet til Google Play Butik, forklædt som legitime produktivitetsværktøjer. Når de er installeret, eksfiltrerer disse apps følsomme bankoplysninger ved hjælp af overlejrings- og tilgængelighedsteknikker.
AllaSenha-kampagnen understreger den voksende sofistikering og regionale fokus af cybertrusler rettet mod finansielle institutioner. Efterhånden som cyberkriminelle fortsætter med at forfine deres metoder og udvide deres rækkevidde, bliver det stadig mere kritisk for banker og deres kunder at vedtage robuste sikkerhedsforanstaltninger. Bevidsthed og årvågenhed forbliver nøgleforsvar mod disse udviklende trusler.
