AllaSenha: il malware mobile che minaccia le banche brasiliane
Gli istituti bancari brasiliani sono diventati bersaglio di una sofisticata campagna di attacchi informatici che coinvolge una variante personalizzata del trojan di accesso remoto (RAT) AllaKore basato su Windows, ora noto come AllaSenha. Qui approfondiamo le complessità tecniche di AllaSenha, il suo vettore di attacco e le sue implicazioni per le banche brasiliane e i loro clienti.
Table of Contents
La campagna AllaSenha
AllaSenha è progettato specificamente per rubare le credenziali necessarie per accedere ai conti bancari brasiliani. Sfruttando i servizi cloud di Azure per la sua infrastruttura di comando e controllo (C2), il malware rappresenta un’evoluzione significativa nelle minacce informatiche rivolte agli istituti finanziari.
Istituzioni finanziarie mirate
La campagna si rivolge alle principali banche brasiliane come Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob e Sicredi. Sebbene il metodo preciso di infezione iniziale rimanga incerto, si ritiene fortemente che i messaggi di phishing contenenti collegamenti dannosi siano il vettore principale.
Avvio di attacchi e distribuzione di malware
L'attacco inizia in genere con un file di collegamento Windows (LNK) dannoso camuffato da documento PDF, "NotaFiscal.pdf.lnk", ospitato su un server WebDAV da marzo 2024. Una volta avviato, questo file LNK esegue una shell di comandi Windows. . La shell apre un file PDF esca per distrarre il destinatario e contemporaneamente recupera un payload di script batch (BAT) denominato "c.cmd" dallo stesso server WebDAV.
Il programma di avvio BpyCode
Soprannominato il launcher BPyCode, questo payload BAT attiva un comando PowerShell con codifica Base64. Il comando scarica quindi il binario Python dal sito Web ufficiale per eseguire uno script Python denominato BPyCode. BPyCode è un downloader per una libreria a collegamento dinamico (DLL) chiamata "executor.dll", che viene eseguita in memoria. La DLL viene recuperata dai nomi di dominio generati tramite un algoritmo di generazione di domini (DGA), spesso associato al servizio Funzioni di Microsoft Azure per la distribuzione dell'infrastruttura dinamica.
Consegna del carico utile in più fasi
Lo script BPyCode recupera un file pickle contenente tre componenti: un secondo script di caricamento Python, un archivio ZIP con il pacchetto PythonMemoryModule e un altro archivio ZIP contenente "executor.dll". Il nuovo script di caricamento Python utilizza PythonMemoryModule per caricare "executor.dll", un malware basato su Borland Delphi denominato ExecutorLoader, direttamente in memoria. Il ruolo principale di ExecutorLoader è decodificare ed eseguire AllaSenha inserendolo in un processo mshta.exe legittimo.
Furto di credenziali e bypass dell'autenticazione a due fattori
L'obiettivo principale di AllaSenha è rubare le credenziali bancarie online dai browser web. Inoltre, può visualizzare finestre in sovrapposizione per acquisire codici di autenticazione a due fattori (2FA). Può persino indurre le vittime a scansionare un codice QR per approvare le transazioni fraudolente avviate dagli aggressori. Questo metodo sofisticato consente al malware di aggirare le misure di sicurezza standard, mettendo a grave rischio la sicurezza bancaria.
Collegamenti al progetto KL Gorki
Tutti gli esempi AllaSenha utilizzano il nome file "Access_PC_Client_dll.dll." Questo nome file è anche associato al progetto KL Gorki, un malware bancario che combina componenti di AllaKore e ServerSocket. Inoltre, un utente di lingua portoghese chiamato bert1m è stato identificato come potenziale sviluppatore del malware, sebbene non vi siano prove concrete che lo colleghino al suo funzionamento.
Implicazioni più ampie e tendenze regionali
La campagna AllaSenha evidenzia una tendenza più ampia della criminalità informatica originaria dell’America Latina. I criminali informatici in questa regione sembrano essere particolarmente abili nel lanciare campagne per rubare dati bancari. Sebbene i loro obiettivi principali siano individui in America Latina, spesso compromettono i sistemi gestiti da filiali o dipendenti di società internazionali con sede in Brasile, estendendo la loro portata globale.
Altri trojan bancari nella regione
L’emergere di AllaSenha fa parte di un modello più ampio di attacchi trojan bancari in America Latina. Ad esempio, Forcepoint ha recentemente dettagliato campagne di malspam che distribuiscono un altro trojan bancario, Casbaneiro (noto anche come Metamorfo e Ponteiro), con l'obiettivo di sottrarre informazioni finanziarie alle vittime. Questo malware, distribuito tramite allegati HTML nelle e-mail, induce gli utenti a eseguire codice dannoso, portando alla compromissione dei dati.
Trojan bancari Android: una minaccia parallela
Windows non è l'unica piattaforma sotto attacco. Esiste anche una campagna di malware bancario Android che coinvolge Anatsa (TeaBot e Infant). Questi attacchi utilizzano applicazioni esca caricate sul Google Play Store mascherate da strumenti di produttività legittimi. Una volta installate, queste app esfiltrano credenziali bancarie sensibili utilizzando tecniche di sovrapposizione e accessibilità.
La campagna AllaSenha sottolinea la crescente sofisticatezza e l’attenzione regionale delle minacce informatiche rivolte agli istituti finanziari. Poiché i criminali informatici continuano a perfezionare i propri metodi e ad espandere la propria portata, diventa sempre più fondamentale per le banche e i loro clienti adottare solide misure di sicurezza. La consapevolezza e la vigilanza rimangono le difese fondamentali contro queste minacce in evoluzione.
