AllaSenha: ブラジルの銀行を脅かすモバイルマルウェア
ブラジルの金融機関は、Windows ベースの AllaKore リモート アクセス トロイの木馬 (RAT) のカスタム バリアント (現在は AllaSenha として知られています) を巻き込んだ高度なサイバー攻撃キャンペーンの標的となっています。ここでは、AllaSenha の技術的な複雑さ、攻撃ベクトル、およびブラジルの銀行とその顧客への影響について詳しく説明します。
Table of Contents
アラセニャキャンペーン
AllaSenha は、ブラジルの銀行口座にアクセスするために必要な認証情報を盗むために特別に設計されています。コマンド アンド コントロール (C2) インフラストラクチャに Azure クラウド サービスを活用するこのマルウェアは、金融機関を標的とするサイバー脅威の大きな進化を表しています。
標的となる金融機関
この攻撃は、Banco do Brasil、Bradesco、Banco Safra、Caixa Econômica Federal、Itaú Unibanco、Sicoob、Sicredi などのブラジルの大手銀行をターゲットにしています。最初の感染の正確な方法は不明ですが、悪意のあるリンクを含むフィッシング メッセージが主な感染経路であると強く信じられています。
攻撃の開始とマルウェアの展開
攻撃は通常、2024 年 3 月から WebDAV サーバーでホストされている PDF ドキュメント「NotaFiscal.pdf.lnk」を装った悪意のある Windows ショートカット (LNK) ファイルから始まります。この LNK ファイルは起動されると、Windows コマンド シェルを実行します。シェルはデコイ PDF ファイルを開いて受信者の注意をそらすと同時に、同じ WebDAV サーバーから「c.cmd」という名前のバッチ スクリプト (BAT) ペイロードを取得します。
BPyCodeランチャー
BPyCode ランチャーと呼ばれるこの BAT ペイロードは、Base64 でエンコードされた PowerShell コマンドをトリガーします。次に、コマンドは公式 Web サイトから Python バイナリをダウンロードし、BPyCode という名前の Python スクリプトを実行します。BPyCode は、メモリ内で実行される「executor.dll」と呼ばれるダイナミック リンク ライブラリ (DLL) のダウンローダーです。DLL は、動的インフラストラクチャの展開のための Microsoft Azure Functions サービスに関連付けられていることが多いドメイン生成アルゴリズム (DGA) によって生成されたドメイン名から取得されます。
多段階ペイロード配信
BPyCode スクリプトは、2 番目の Python ローダー スクリプト、PythonMemoryModule パッケージを含む ZIP アーカイブ、および「executor.dll」を含む別の ZIP アーカイブの 3 つのコンポーネントを含む pickle ファイルを取得します。新しい Python ローダー スクリプトは、PythonMemoryModule を使用して、「executor.dll」 (ExecutorLoader という Borland Delphi ベースのマルウェア) を直接メモリにロードします。ExecutorLoader の主な役割は、AllaSenha を正当な mshta.exe プロセスに挿入してデコードし、実行することです。
資格情報の盗難と二要素認証のバイパス
AllaSenha の主な目的は、Web ブラウザーからオンライン バンキングの認証情報を盗むことです。さらに、オーバーレイ ウィンドウを表示して 2 要素認証 (2FA) コードを取得することもできます。被害者を騙して QR コードをスキャンさせ、攻撃者が開始した不正な取引を承認させることもできます。この高度な手法により、マルウェアは標準的なセキュリティ対策を回避できるため、銀行のセキュリティに重大なリスクをもたらします。
KL Gorki プロジェクトへのリンク
AllaSenha のすべてのサンプルは、「Access_PC_Client_dll.dll」というファイル名を使用しています。このファイル名は、AllaKore と ServerSocket のコンポーネントを組み合わせたバンキング マルウェアである KL Gorki プロジェクトにも関連しています。さらに、 bert1mというポルトガル語を話すユーザーがこのマルウェアの潜在的な開発者として特定されていますが、このユーザーがマルウェアの運営に関与していることを示す具体的な証拠はありません。
より広範な影響と地域的な傾向
AllaSenha 攻撃は、ラテンアメリカを起点とするサイバー犯罪の幅広い傾向を浮き彫りにしています。この地域のサイバー犯罪者は、銀行の詳細情報の窃盗を目的とした攻撃を開始することに特に長けているようです。主なターゲットはラテンアメリカの個人ですが、ブラジルに拠点を置く国際企業の子会社や従業員が運営するシステムを侵害することが多く、その影響範囲は世界中に広がっています。
この地域におけるその他のバンキング型トロイの木馬
AllaSenha の出現は、ラテンアメリカにおけるバンキング型トロイの木馬攻撃の大きなパターンの一部です。たとえば、Forcepoint は最近、被害者の金融情報を盗み出すことを目的とした別のバンキング型トロイの木馬 Casbaneiro (別名 Metamorfo および Ponteiro) を配布するマルスパム キャンペーンの詳細を発表しました。このマルウェアは、電子メールの HTML 添付ファイルを介して配布され、ユーザーを誘導して悪意のあるコードを実行させ、データの侵害を引き起こします。
Android バンキング型トロイの木馬: 並行する脅威
攻撃を受けているのは Windows だけではありません。Anatsa (TeaBot および Toddler) を巻き込んだ Android バンキング マルウェア キャンペーンもあります。これらの攻撃では、正規の生産性ツールを装って Google Play ストアにアップロードされたおとりアプリケーションが利用されます。インストールされると、これらのアプリはオーバーレイとアクセシビリティ技術を使用して機密性の高い銀行認証情報を盗み出します。
AllaSenha 攻撃は、金融機関を狙うサイバー脅威がますます巧妙化し、地域的に焦点を当てていることを浮き彫りにしています。サイバー犯罪者が手法を洗練させ、攻撃範囲を拡大し続ける中、銀行とその顧客が強力なセキュリティ対策を採用することがますます重要になっています。こうした進化する脅威に対する防御策として、認識と警戒が依然として重要です。
