AllaSenha: A mobil rosszindulatú programok, amelyek a brazil bankokat fenyegetik
A brazil bankintézetek egy kifinomult kibertámadási kampány célpontjaivá váltak, amely magában foglalja a Windows-alapú AllaKore távoli hozzáférésű trójai (RAT) egyedi változatát, amely ma AllaSenha néven ismert. Itt belemélyedünk az AllaSenha technikai bonyolultságába, támadási vektorába, valamint a brazil bankokra és ügyfeleikre gyakorolt hatásaiba.
Table of Contents
Az AllaSenha kampány
Az AllaSenha kifejezetten a brazil bankszámlákhoz való hozzáféréshez szükséges hitelesítő adatok ellopására készült. Az Azure felhőszolgáltatásait a parancs- és vezérlési (C2) infrastruktúrához kihasználva a rosszindulatú program jelentős fejlődést jelent a pénzintézeteket célzó kiberfenyegetések terén.
Célzott pénzügyi intézmények
A kampány olyan nagy brazil bankokat céloz meg, mint a Banco do Brasil, a Bradesco, a Banco Safra, a Caixa Econômica Federal, az Itaú Unibanco, a Sicoob és a Sicredi. Bár a kezdeti fertőzés pontos módszere továbbra is bizonytalan, a rosszindulatú hivatkozásokat tartalmazó adathalász üzenetek az elsődleges vektorok.
Támadás kezdeményezése és rosszindulatú programok telepítése
A támadás általában egy PDF-dokumentumnak álcázott, rosszindulatú Windows parancsikon (LNK) fájllal kezdődik, a „NotaFiscal.pdf.lnk”, amelyet 2024 márciusa óta egy WebDAV-kiszolgálón tárolnak. Az indítást követően ez az LNK-fájl egy Windows parancshéjat hajt végre. . A shell megnyit egy csali PDF-fájlt, hogy elvonja a címzett figyelmét, miközben egyidejűleg lekéri a „c.cmd” nevű kötegelt parancsfájlt (BAT) ugyanarról a WebDAV-kiszolgálóról.
A BPyCode Launcher
Ez a BPyCode indítónak nevezett BAT hasznos adat Base64-kódolású PowerShell-parancsot indít el. A parancs ezután letölti a Python bináris fájlt a hivatalos webhelyről, hogy végrehajtsa a BPyCode nevű Python-szkriptet. A BPyCode egy „executor.dll” nevű dinamikus hivatkozási könyvtár (DLL) letöltője, amely a memóriában fut. A DLL-t a rendszer egy tartománygeneráló algoritmuson (DGA) keresztül generált tartománynevekből kéri le, amelyek gyakran társulnak a Microsoft Azure Functions szolgáltatáshoz a dinamikus infrastruktúra-telepítéshez.
Többlépcsős rakományszállítás
A BPyCode parancsfájl három összetevőt tartalmazó pickle fájlt kér le: egy második Python-betöltő szkriptet, egy ZIP-archívumot a PythonMemoryModule csomaggal, és egy másik ZIP-archívumot, amely az "executor.dll" fájlt tartalmazza. Az új Python betöltő szkript a PythonMemoryModule segítségével tölti be az "executor.dll" nevű Borland Delphi-alapú, ExecutorLoader nevű kártevőt közvetlenül a memóriába. Az ExecutorLoader elsődleges szerepe az AllaSenha dekódolása és végrehajtása egy legitim mshta.exe folyamatba való beillesztésével.
Hitelesítési adatlopás és kéttényezős hitelesítés megkerülése
Az AllaSenha elsődleges célja az online banki hitelesítő adatok ellopása a webböngészőkből. Ezenkívül képes megjeleníteni átfedő ablakokat a kéttényezős hitelesítési (2FA) kódok rögzítésére. Még az áldozatokat is megtévesztheti, hogy beolvassák a QR-kódot, hogy jóváhagyják a támadók által kezdeményezett csalárd tranzakciókat. Ez a kifinomult módszer lehetővé teszi a rosszindulatú programok számára, hogy megkerüljék a szokásos biztonsági intézkedéseket, ami komoly kockázatot jelent a banki biztonságra nézve.
Linkek a KL Gorki Projecthez
Minden AllaSenha minta az "Access_PC_Client_dll.dll" fájlnevet használja. Ez a fájlnév a KL Gorki projekthez is kapcsolódik, amely egy olyan banki kártevő, amely az AllaKore és a ServerSocket összetevőit egyesíti. Ezenkívül egy bert1m nevű portugálul beszélő felhasználót azonosítottak a kártevő potenciális fejlesztőjeként, bár nincs konkrét bizonyíték, amely összefüggésbe hozná őket a működésével.
Tágabb következmények és regionális trendek
Az AllaSenha kampány rávilágít a kiberbűnözés Latin-Amerikából származó szélesebb trendjére. Úgy tűnik, hogy ebben a régióban a kiberbűnözők különösen ügyesek a banki adatok ellopására irányuló kampányok indítására. Bár elsődleges célpontjaik latin-amerikai magánszemélyek, gyakran veszélyeztetik a brazíliai székhelyű nemzetközi vállalatok leányvállalatai vagy alkalmazottai által üzemeltetett rendszereket, kiterjesztve globális hatókörüket.
Egyéb banki trójaiak a régióban
Az AllaSenha megjelenése része a latin-amerikai banki trójai támadásoknak. Például a Forcepoint nemrégiben részletezett egy másik banki trójai, a Casbaneiro (más néven Metamorfo és Ponteiro) malspam kampányait, amelyek célja az áldozatok pénzügyi információinak szippantása. Ez az e-mailek HTML-mellékleteivel terjesztett rosszindulatú program rosszindulatú kód futtatására csábítja a felhasználókat, ami adatkompromittáláshoz vezet.
Android Banking trójaiak: párhuzamos fenyegetés
Nem a Windows az egyetlen támadás alatt álló platform. Van egy Android banki rosszindulatú programkampány is, amelyben Anatsa (TeaBot és Toddler) vesz részt. Ezek a támadások a Google Play Áruházba feltöltött csali alkalmazásokat használják legitim termelékenységi eszközöknek álcázva. A telepítést követően ezek az alkalmazások átfedési és kisegítő technikák segítségével kiszivárogtatják az érzékeny banki hitelesítő adatokat.
Az AllaSenha kampány rávilágít a pénzügyi intézményeket célzó kiberfenyegetések növekvő kifinomultságára és regionális fókuszára. Ahogy a kiberbűnözők tovább finomítják módszereiket és kiterjesztik hatókörüket, a bankok és ügyfeleik számára egyre fontosabbá válik, hogy szilárd biztonsági intézkedéseket fogadjanak el. A tudatosság és az éberség továbbra is kulcsfontosságú védelmet jelent ezekkel a fejlődő fenyegetésekkel szemben.
