AllaSenha : les logiciels malveillants mobiles qui menacent les banques brésiliennes
Les institutions bancaires brésiliennes sont devenues la cible d'une campagne de cyberattaque sophistiquée impliquant une variante personnalisée du cheval de Troie d'accès à distance (RAT) AllaKore basé sur Windows, désormais connu sous le nom d'AllaSenha. Nous abordons ici les subtilités techniques d'AllaSenha, son vecteur d'attaque et ses implications pour les banques brésiliennes et leurs clients.
Table of Contents
La campagne AllaSenha
AllaSenha est spécialement conçu pour voler les informations d'identification nécessaires pour accéder aux comptes bancaires brésiliens. Tirant parti des services cloud Azure pour son infrastructure de commande et de contrôle (C2), le malware représente une évolution significative des cybermenaces ciblant les institutions financières.
Institutions financières ciblées
La campagne cible les grandes banques brésiliennes telles que Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob et Sicredi. Bien que la méthode précise d’infection initiale reste incertaine, les messages de phishing contenant des liens malveillants sont fortement considérés comme le principal vecteur.
Lancement d’attaques et déploiement de logiciels malveillants
L'attaque commence généralement par un fichier de raccourci Windows (LNK) malveillant déguisé en document PDF, « NotaFiscal.pdf.lnk », hébergé sur un serveur WebDAV depuis mars 2024. Une fois lancé, ce fichier LNK exécute un shell de commande Windows. . Le shell ouvre un fichier PDF leurre pour distraire le destinataire tout en récupérant simultanément une charge utile de script batch (BAT) nommée « c.cmd » à partir du même serveur WebDAV.
Le lanceur BPyCode
Surnommée le lanceur BPyCode, cette charge utile BAT déclenche une commande PowerShell codée en Base64. La commande télécharge ensuite le binaire Python depuis le site officiel pour exécuter un script Python nommé BPyCode. BPyCode est un téléchargeur pour une bibliothèque de liens dynamiques (DLL) appelée « executor.dll », qui s'exécute en mémoire. La DLL est récupérée à partir des noms de domaine générés via un algorithme de génération de domaine (DGA), souvent associé au service Microsoft Azure Functions pour le déploiement d'infrastructure dynamique.
Livraison de charge utile en plusieurs étapes
Le script BPyCode récupère un fichier pickle contenant trois composants : un deuxième script de chargeur Python, une archive ZIP avec le package PythonMemoryModule et une autre archive ZIP contenant "executor.dll". Le nouveau script de chargement Python utilise PythonMemoryModule pour charger « executor.dll », un malware basé sur Borland Delphi nommé ExecutorLoader, directement dans la mémoire. Le rôle principal d'ExecutorLoader est de décoder et d'exécuter AllaSenha en l'injectant dans un processus mshta.exe légitime.
Vol d’identifiants et contournement de l’authentification à deux facteurs
L'objectif principal d'AllaSenha est de voler les identifiants bancaires en ligne des navigateurs Web. De plus, il peut afficher des fenêtres de superposition pour capturer les codes d'authentification à deux facteurs (2FA). Il peut même inciter les victimes à scanner un code QR pour approuver les transactions frauduleuses initiées par les attaquants. Cette méthode sophistiquée permet au malware de contourner les mesures de sécurité standards, posant ainsi un risque grave pour la sécurité bancaire.
Liens vers le projet KL Gorki
Tous les exemples AllaSenha utilisent le nom de fichier « Access_PC_Client_dll.dll ». Ce nom de fichier est également associé au projet KL Gorki, un malware bancaire qui combine des composants d'AllaKore et ServerSocket. En outre, un utilisateur lusophone nommé bert1m a été identifié comme un développeur potentiel du malware, bien qu'il n'existe aucune preuve concrète le liant à son fonctionnement.
Implications plus larges et tendances régionales
La campagne AllaSenha met en lumière une tendance plus large de la cybercriminalité originaire d'Amérique latine. Les cybercriminels de cette région semblent particulièrement habiles à lancer des campagnes visant à voler des informations bancaires. Bien que leurs cibles principales soient des individus en Amérique latine, ils compromettent souvent les systèmes exploités par des filiales ou des employés d'entreprises internationales basées au Brésil, étendant ainsi leur portée mondiale.
Autres chevaux de Troie bancaires dans la région
L’émergence d’AllaSenha s’inscrit dans un schéma plus large d’attaques de chevaux de Troie bancaires en Amérique latine. Par exemple, Forcepoint a récemment détaillé des campagnes de spam distribuant un autre cheval de Troie bancaire, Casbaneiro (alias Metamorfo et Ponteiro), visant à siphonner les informations financières des victimes. Ce malware, distribué via des pièces jointes HTML dans les e-mails, incite les utilisateurs à exécuter du code malveillant, entraînant une compromission des données.
Chevaux de Troie bancaires Android : une menace parallèle
Windows n'est pas la seule plateforme attaquée. Il existe également une campagne de malware bancaire Android impliquant Anatsa (TeaBot et Toddler). Ces attaques utilisent des applications leurres téléchargées sur le Google Play Store, déguisées en outils de productivité légitimes. Une fois installées, ces applications exfiltrent les informations d’identification bancaires sensibles à l’aide de techniques de superposition et d’accessibilité.
La campagne AllaSenha souligne la sophistication croissante et la focalisation régionale des cybermenaces ciblant les institutions financières. Alors que les cybercriminels continuent d’affiner leurs méthodes et d’étendre leur portée, il devient de plus en plus essentiel pour les banques et leurs clients d’adopter des mesures de sécurité robustes. La sensibilisation et la vigilance restent des moyens de défense essentiels contre ces menaces évolutives.
