AllaSenha: Το κακόβουλο λογισμικό για κινητά που απειλούν τις τράπεζες της Βραζιλίας
Τα τραπεζικά ιδρύματα της Βραζιλίας έχουν γίνει στόχος μιας εξελιγμένης εκστρατείας κυβερνοεπιθέσεων που περιλαμβάνει μια προσαρμοσμένη παραλλαγή του trojan απομακρυσμένης πρόσβασης AllaKore (RAT) που βασίζεται στα Windows, τώρα γνωστή ως AllaSenha. Εδώ, εμβαθύνουμε στις τεχνικές περιπλοκές του AllaSenha, του φορέα επιθέσεων και των συνεπειών του για τις τράπεζες της Βραζιλίας και τους πελάτες τους.
Table of Contents
Η εκστρατεία AllaSenha
Το AllaSenha έχει σχεδιαστεί ειδικά για να κλέβει τα διαπιστευτήρια που είναι απαραίτητα για την πρόσβαση σε τραπεζικούς λογαριασμούς της Βραζιλίας. Αξιοποιώντας τις υπηρεσίες cloud Azure για την υποδομή εντολών και ελέγχου (C2), το κακόβουλο λογισμικό αντιπροσωπεύει μια σημαντική εξέλιξη στις απειλές στον κυβερνοχώρο που στοχεύουν χρηματοπιστωτικά ιδρύματα.
Στοχευμένα χρηματοπιστωτικά ιδρύματα
Η καμπάνια στοχεύει μεγάλες τράπεζες της Βραζιλίας όπως οι Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob και Sicredi. Αν και η ακριβής μέθοδος αρχικής μόλυνσης παραμένει αβέβαιη, τα μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλους συνδέσμους πιστεύεται ακράδαντα ότι είναι ο κύριος φορέας.
Έναρξη επίθεσης και ανάπτυξη κακόβουλου λογισμικού
Η επίθεση συνήθως ξεκινά με ένα κακόβουλο αρχείο συντόμευσης των Windows (LNK) μεταμφιεσμένο σε έγγραφο PDF, το "NotaFiscal.pdf.lnk", το οποίο φιλοξενείται σε διακομιστή WebDAV από τον Μάρτιο του 2024. Μόλις εκκινηθεί, αυτό το αρχείο LNK εκτελεί ένα κέλυφος εντολών των Windows . Το κέλυφος ανοίγει ένα αρχείο PDF decoy για να αποσπάσει την προσοχή του παραλήπτη ενώ ταυτόχρονα ανακτά ένα ωφέλιμο φορτίο δέσμης ενεργειών (BAT) με το όνομα "c.cmd" από τον ίδιο διακομιστή WebDAV.
Το πρόγραμμα εκκίνησης BPyCode
Αυτό το ωφέλιμο φορτίο BAT, που ονομάζεται εκτοξευτής BPyCode, ενεργοποιεί μια εντολή PowerShell με κωδικοποίηση Base64. Στη συνέχεια, η εντολή κατεβάζει το δυαδικό αρχείο Python από τον επίσημο ιστότοπο για να εκτελέσει ένα σενάριο Python με το όνομα BPyCode. Το BPyCode είναι ένα πρόγραμμα λήψης για μια βιβλιοθήκη δυναμικής σύνδεσης (DLL) που ονομάζεται "executor.dll", η οποία εκτελείται στη μνήμη. Το DLL λαμβάνεται από ονόματα τομέων που δημιουργούνται μέσω ενός αλγόριθμου δημιουργίας τομέα (DGA), που συχνά σχετίζεται με την υπηρεσία Microsoft Azure Functions για ανάπτυξη δυναμικής υποδομής.
Παράδοση ωφέλιμου φορτίου σε πολλαπλά στάδια
Το σενάριο BPyCode ανακτά ένα αρχείο pickle που περιέχει τρία στοιχεία: ένα δεύτερο σενάριο φόρτωσης Python, ένα αρχείο ZIP με το πακέτο PythonMemoryModule και ένα άλλο αρχείο ZIP που περιέχει το "executor.dll". Το νέο σενάριο φόρτωσης Python χρησιμοποιεί το PythonMemoryModule για να φορτώσει το "executor.dll", ένα κακόβουλο λογισμικό που βασίζεται στους Δελφούς Borland με το όνομα ExecutorLoader, απευθείας στη μνήμη. Ο πρωταρχικός ρόλος του ExecutorLoader είναι να αποκωδικοποιεί και να εκτελεί το AllaSenha εισάγοντάς το σε μια νόμιμη διεργασία mshta.exe.
Κλοπή διαπιστευτηρίων και παράκαμψη ελέγχου ταυτότητας δύο παραγόντων
Ο πρωταρχικός στόχος του AllaSenha είναι να κλέψει διαπιστευτήρια ηλεκτρονικής τραπεζικής από προγράμματα περιήγησης ιστού. Επιπλέον, μπορεί να εμφανίζει παράθυρα επικάλυψης για τη λήψη κωδικών ελέγχου ταυτότητας δύο παραγόντων (2FA). Μπορεί ακόμη και να εξαπατήσει τα θύματα να σαρώσουν έναν κωδικό QR για να εγκρίνουν δόλιες συναλλαγές που ξεκινούν από τους εισβολείς. Αυτή η εξελιγμένη μέθοδος επιτρέπει στο κακόβουλο λογισμικό να παρακάμψει τα τυπικά μέτρα ασφαλείας, θέτοντας σοβαρό κίνδυνο για την τραπεζική ασφάλεια.
Σύνδεσμοι στο KL Gorki Project
Όλα τα δείγματα AllaSenha χρησιμοποιούν το όνομα αρχείου "Access_PC_Client_dll.dll." Αυτό το όνομα αρχείου σχετίζεται επίσης με το έργο KL Gorki, ένα τραπεζικό κακόβουλο λογισμικό που συνδυάζει στοιχεία του AllaKore και του ServerSocket. Επιπλέον, ένας πορτογαλόφωνος χρήστης με το όνομα bert1m έχει αναγνωριστεί ως πιθανός προγραμματιστής του κακόβουλου λογισμικού, αν και δεν υπάρχουν συγκεκριμένα στοιχεία που να τον συνδέουν με τη λειτουργία του.
Ευρύτερες επιπτώσεις και περιφερειακές τάσεις
Η εκστρατεία AllaSenha υπογραμμίζει μια ευρύτερη τάση του εγκλήματος στον κυβερνοχώρο που προέρχεται από τη Λατινική Αμερική. Οι κυβερνοεγκληματίες σε αυτήν την περιοχή φαίνεται να είναι ιδιαίτερα έμπειροι στην έναρξη εκστρατειών για την κλοπή τραπεζικών στοιχείων. Ενώ οι κύριοι στόχοι τους είναι άτομα στη Λατινική Αμερική, συχνά θέτουν σε κίνδυνο συστήματα που λειτουργούν από θυγατρικές ή υπαλλήλους διεθνών εταιρειών με έδρα τη Βραζιλία, επεκτείνοντας την παγκόσμια απήχησή τους.
Άλλοι Τρώες Τραπεζών στην Περιφέρεια
Η εμφάνιση του AllaSenha είναι μέρος ενός ευρύτερου σχεδίου τραπεζικών επιθέσεων trojan στη Λατινική Αμερική. Για παράδειγμα, η Forcepoint πρόσφατα περιελάμβανε εκστρατείες malspam που διανέμουν ένα άλλο τραπεζικό trojan, το Casbaneiro (γνωστό και ως Metamorfo και Ponteiro), με στόχο τη συλλογή οικονομικών πληροφοριών των θυμάτων. Αυτό το κακόβουλο λογισμικό, που διανέμεται μέσω συνημμένων HTML σε μηνύματα ηλεκτρονικού ταχυδρομείου, παρασύρει τους χρήστες στην εκτέλεση κακόβουλου κώδικα, οδηγώντας σε παραβίαση δεδομένων.
Android Banking Trojans: Μια παράλληλη απειλή
Τα Windows δεν είναι η μόνη πλατφόρμα που δέχεται επίθεση. Υπάρχει επίσης μια καμπάνια για τραπεζικό κακόβουλο λογισμικό Android που περιλαμβάνει την Anatsa (TeaBot και Toddler). Αυτές οι επιθέσεις χρησιμοποιούν εφαρμογές δόλωμα που έχουν ανέβει στο Google Play Store μεταμφιεσμένες ως νόμιμα εργαλεία παραγωγικότητας. Μόλις εγκατασταθούν, αυτές οι εφαρμογές εκμεταλλεύονται ευαίσθητα τραπεζικά διαπιστευτήρια χρησιμοποιώντας τεχνικές επικάλυψης και προσβασιμότητας.
Η εκστρατεία AllaSenha υπογραμμίζει την αυξανόμενη πολυπλοκότητα και την περιφερειακή εστίαση των απειλών στον κυβερνοχώρο που στοχεύουν χρηματοπιστωτικά ιδρύματα. Καθώς οι εγκληματίες του κυβερνοχώρου συνεχίζουν να βελτιώνουν τις μεθόδους τους και να επεκτείνουν την εμβέλειά τους, καθίσταται ολοένα και πιο κρίσιμο για τις τράπεζες και τους πελάτες τους να υιοθετούν αυστηρά μέτρα ασφαλείας. Η συνειδητοποίηση και η επαγρύπνηση παραμένουν βασικές άμυνες έναντι αυτών των εξελισσόμενων απειλών.
