AllaSenha: Die mobile Malware bedroht brasilianische Banken
Brasilianische Bankinstitute sind Ziel einer ausgeklügelten Cyberangriffskampagne geworden, bei der eine angepasste Variante des Windows-basierten Remote Access Trojan (RAT) AllaKore zum Einsatz kommt, der jetzt als AllaSenha bekannt ist. Hier gehen wir auf die technischen Feinheiten von AllaSenha, seinen Angriffsvektor und seine Auswirkungen auf brasilianische Banken und ihre Kunden ein.
Table of Contents
Die AllaSenha-Kampagne
AllaSenha ist speziell darauf ausgelegt, Zugangsdaten zu brasilianischen Bankkonten zu stehlen. Die Malware nutzt Azure-Clouddienste für ihre Command-and-Control-Infrastruktur (C2) und stellt eine bedeutende Weiterentwicklung der Cyberbedrohungen für Finanzinstitute dar.
Zielgerichtete Finanzinstitute
Die Kampagne zielt auf große brasilianische Banken wie Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob und Sicredi. Obwohl die genaue Methode der Erstinfektion noch unklar ist, wird stark angenommen, dass Phishing-Nachrichten mit bösartigen Links der Hauptüberträger sind.
Angriffsbeginn und Malware-Bereitstellung
Der Angriff beginnt typischerweise mit einer bösartigen Windows-Verknüpfungsdatei (LNK), die als PDF-Dokument getarnt ist, „NotaFiscal.pdf.lnk“, das seit März 2024 auf einem WebDAV-Server gehostet wird. Nach dem Start führt diese LNK-Datei eine Windows-Eingabeaufforderung aus. Die Shell öffnet eine Schein-PDF-Datei, um den Empfänger abzulenken, und ruft gleichzeitig eine Batch-Skript-Nutzlast (BAT) namens „c.cmd“ vom selben WebDAV-Server ab.
Der BPyCode Launcher
Diese BAT-Nutzlast, die als BPyCode-Launcher bezeichnet wird, löst einen Base64-codierten PowerShell-Befehl aus. Der Befehl lädt dann die Python-Binärdatei von der offiziellen Website herunter, um ein Python-Skript namens BPyCode auszuführen. BPyCode ist ein Downloader für eine Dynamic Link Library (DLL) namens „executor.dll“, die im Speicher ausgeführt wird. Die DLL wird aus Domänennamen abgerufen, die über einen Domänengenerierungsalgorithmus (DGA) generiert werden, der häufig mit dem Microsoft Azure Functions-Dienst für die dynamische Bereitstellung von Infrastrukturen verknüpft ist.
Mehrstufige Nutzlastlieferung
Das BPyCode-Skript ruft eine Pickle-Datei ab, die drei Komponenten enthält: ein zweites Python-Loader-Skript, ein ZIP-Archiv mit dem PythonMemoryModule-Paket und ein weiteres ZIP-Archiv mit „executor.dll“. Das neue Python-Loader-Skript verwendet PythonMemoryModule, um „executor.dll“, eine Borland Delphi-basierte Malware namens ExecutorLoader, direkt in den Speicher zu laden. Die Hauptaufgabe von ExecutorLoader besteht darin, AllaSenha zu dekodieren und auszuführen, indem es in einen legitimen mshta.exe-Prozess injiziert wird.
Diebstahl von Anmeldeinformationen und Umgehung der Zwei-Faktor-Authentifizierung
Das Hauptziel von AllaSenha besteht darin, Online-Banking-Anmeldeinformationen aus Webbrowsern zu stehlen. Darüber hinaus kann die Malware Overlay-Fenster anzeigen, um Codes für die Zwei-Faktor-Authentifizierung (2FA) abzufangen. Sie kann Opfer sogar dazu verleiten, einen QR-Code zu scannen, um betrügerische Transaktionen zu genehmigen, die von den Angreifern initiiert wurden. Mit dieser ausgeklügelten Methode kann die Malware Standardsicherheitsmaßnahmen umgehen und stellt somit ein ernstes Risiko für die Sicherheit von Banken dar.
Links zum KL Gorki Projekt
Alle AllaSenha-Beispiele verwenden den Dateinamen „Access_PC_Client_dll.dll“. Dieser Dateiname wird auch mit dem KL Gorki-Projekt in Verbindung gebracht, einer Banking-Malware, die Komponenten von AllaKore und ServerSocket kombiniert. Darüber hinaus wurde ein portugiesischsprachiger Benutzer namens bert1m als potenzieller Entwickler der Malware identifiziert, obwohl es keine konkreten Beweise gibt, die ihn mit deren Betrieb in Verbindung bringen.
Weitergehende Auswirkungen und regionale Trends
Die AllaSenha-Kampagne unterstreicht einen breiteren Trend der Cyberkriminalität, der aus Lateinamerika stammt. Cyberkriminelle in dieser Region scheinen besonders geschickt darin zu sein, Kampagnen zum Diebstahl von Bankdaten zu starten. Während ihre Hauptziele Einzelpersonen in Lateinamerika sind, kompromittieren sie oft Systeme, die von Tochtergesellschaften oder Mitarbeitern internationaler Unternehmen mit Sitz in Brasilien betrieben werden, und erweitern so ihre globale Reichweite.
Andere Banking-Trojaner in der Region
Das Auftauchen von AllaSenha ist Teil eines größeren Musters von Banktrojaner-Angriffen in Lateinamerika. Forcepoint hat beispielsweise kürzlich Malspam-Kampagnen beschrieben, die einen weiteren Banktrojaner, Casbaneiro (auch bekannt als Metamorfo und Ponteiro), verbreiten, dessen Ziel darin besteht, die Finanzdaten der Opfer abzuschöpfen. Diese Malware, die über HTML-Anhänge in E-Mails verbreitet wird, verleitet Benutzer dazu, Schadcode auszuführen, was zu einer Beeinträchtigung der Daten führt.
Android-Banking-Trojaner: Eine parallele Bedrohung
Windows ist nicht die einzige Plattform, die angegriffen wird. Es gibt auch eine Android-Banking-Malware-Kampagne mit Anatsa (TeaBot und Toddler). Diese Angriffe nutzen Scheinanwendungen, die in den Google Play Store hochgeladen und als legitime Produktivitätstools getarnt werden. Nach der Installation extrahieren diese Apps vertrauliche Bankdaten mithilfe von Overlay- und Zugriffstechniken.
Die AllaSenha-Kampagne unterstreicht die zunehmende Raffinesse und regionale Ausrichtung von Cyberbedrohungen, die auf Finanzinstitute abzielen. Da Cyberkriminelle ihre Methoden immer weiter verfeinern und ihre Reichweite vergrößern, wird es für Banken und ihre Kunden immer wichtiger, robuste Sicherheitsmaßnahmen zu ergreifen. Bewusstsein und Wachsamkeit bleiben die wichtigsten Abwehrmaßnahmen gegen diese sich entwickelnden Bedrohungen.
