AllaSenha: mobiliosios kenkėjiškos programos, keliančios grėsmę Brazilijos bankams
Brazilijos bankų institucijos tapo sudėtingos kibernetinės atakos kampanijos, apimančios tinkintą Windows pagrindu veikiančio AllaKore nuotolinės prieigos Trojos arklys (RAT), dabar žinomo kaip AllaSenha, variantą, taikiniais. Čia mes gilinamės į „AllaSenha“ technines subtilybes, jos atakos vektorių ir jos pasekmes Brazilijos bankams ir jų klientams.
Table of Contents
„AllaSenha“ kampanija
„AllaSenha“ yra specialiai sukurta taip, kad pavogtų kredencialus, reikalingus norint pasiekti Brazilijos banko sąskaitas. Naudodama „Azure“ debesies paslaugas savo komandų ir valdymo (C2) infrastruktūrai, kenkėjiška programa rodo reikšmingą kibernetinių grėsmių, nukreiptų į finansų institucijas, raidą.
Tikslinės finansų institucijos
Kampanija skirta dideliems Brazilijos bankams, tokiems kaip Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob ir Sicredi. Nors tikslus pradinio užsikrėtimo būdas lieka neaiškus, manoma, kad sukčiavimo pranešimai, kuriuose yra kenkėjiškų nuorodų, yra pagrindinis vektorius.
Atakos inicijavimas ir kenkėjiškų programų diegimas
Ataka paprastai prasideda kenkėjišku „Windows“ nuorodų (LNK) failu, užmaskuotu PDF dokumentu „NotaFiscal.pdf.lnk“, kuris nuo 2024 m. kovo buvo priglobtas WebDAV serveryje. Paleidus, šis LNK failas vykdo „Windows“ komandų apvalkalą. . Apvalkalas atidaro viliojantį PDF failą, kad atitrauktų gavėjo dėmesį, tuo pačiu metu iš to paties WebDAV serverio nuskaitydamas paketinį scenarijų (BAT) naudingą apkrovą pavadinimu „c.cmd“.
BPyCode paleidimo priemonė
Pavadintas BPyCode paleidimo priemone, šis GPGB naudingasis krovinys suaktyvina „Base64“ koduotą „PowerShell“ komandą. Tada komanda atsisiunčia Python dvejetainį failą iš oficialios svetainės, kad vykdytų Python scenarijų, pavadintą BPyCode. BPyCode yra dinaminės nuorodos bibliotekos (DLL), vadinamos „executor.dll“, kuri veikia atmintyje, atsisiuntimo programa. DLL gaunamas iš domenų pavadinimų, sugeneruotų naudojant domeno generavimo algoritmą (DGA), dažnai susietą su „Microsoft Azure Functions“ paslauga, skirta dinaminiam infrastruktūros diegimui.
Daugiapakopis naudingų krovinių pristatymas
„BPyCode“ scenarijus nuskaito rinkinį, kuriame yra trys komponentai: antrasis „Python“ įkėlimo scenarijus, ZIP archyvas su „PythonMemoryModule“ paketu ir kitas ZIP archyvas, kuriame yra „executor.dll“. Naujasis „Python“ įkėlimo scenarijus naudoja „PythonMemoryModule“, kad įkeltų „executor.dll“, „Borland Delphi“ pagrindu sukurtą kenkėjišką programą, pavadintą ExecutorLoader, tiesiai į atmintį. Pagrindinis „ExecutorLoader“ vaidmuo yra iššifruoti ir vykdyti „AllaSenha“, įterpiant ją į teisėtą mshta.exe procesą.
Kredencialų vagystės ir dviejų veiksnių autentifikavimo aplinkkelis
Pagrindinis AllaSenha tikslas yra pavogti internetinės bankininkystės kredencialus iš interneto naršyklių. Be to, jis gali rodyti perdangos langus, kad užfiksuotų dviejų veiksnių autentifikavimo (2FA) kodus. Tai netgi gali apgauti aukas, kad jos nuskaitytų QR kodą, kad patvirtintų užpuolikų inicijuotas nesąžiningas operacijas. Šis sudėtingas metodas leidžia kenkėjiškajai programai apeiti standartines saugos priemones, o tai kelia rimtą pavojų bankų saugumui.
Nuorodos į KL Gorki projektą
Visuose AllaSenha pavyzdžiuose naudojamas failo pavadinimas „Access_PC_Client_dll.dll“. Šis failo pavadinimas taip pat siejamas su KL Gorki projektu – banko kenkėjiška programa, jungiančia AllaKore ir ServerSocket komponentus. Be to, portugališkai kalbantis vartotojas, vardu bert1m, buvo nustatytas kaip galimas kenkėjiškos programos kūrėjas, nors nėra jokių konkrečių įrodymų, siejančių juos su jos veikimu.
Platesnės pasekmės ir regioninės tendencijos
„AllaSenha“ kampanija pabrėžia platesnę Lotynų Amerikos kibernetinių nusikaltimų tendenciją. Panašu, kad kibernetiniai nusikaltėliai šiame regione yra ypač įgudę pradėti kampanijas, skirtas pavogti banko duomenis. Nors pagrindiniai jų taikiniai yra asmenys Lotynų Amerikoje, jie dažnai kenkia sistemoms, kurias valdo dukterinės įmonės arba tarptautinių įmonių darbuotojai, įsikūrę Brazilijoje, išplėsdami savo pasaulinį aprėptį.
Kiti bankininkystės Trojos arklys regione
„AllaSenha“ atsiradimas yra dalis didesnio bankų Trojos arklių atakų Lotynų Amerikoje. Pavyzdžiui, „Forcepoint“ neseniai išsamiai išplatino nepageidaujamo elektroninio pašto šiukšlių kampanijas, platinančias kitą bankų Trojos arklį „Casbaneiro“ (dar žinomas kaip „Metamorfo“ ir „Ponteiro“), kurių tikslas – perimti aukų finansinę informaciją. Ši kenkėjiška programa, platinama naudojant HTML priedus el. laiškuose, vilioja vartotojus vykdyti kenkėjišką kodą, o tai lemia duomenų kompromisą.
„Android“ bankininkystės Trojos arklys: lygiagreti grėsmė
„Windows“ nėra vienintelė atakuojama platforma. Taip pat yra „Android“ bankininkystės kenkėjiškų programų kampanija, kurioje dalyvauja „Anatsa“ („TeaBot“ ir „Toddler“). Šiose atakose naudojamos apgaulės programos, įkeltos į „Google Play“ parduotuvę, užmaskuotos kaip teisėti produktyvumo įrankiai. Įdiegtos šios programos išfiltruoja jautrius banko kredencialus, naudodamos perdangos ir pritaikymo neįgaliesiems metodus.
„AllaSenha“ kampanija pabrėžia didėjantį kibernetinių grėsmių, nukreiptų į finansų institucijas, sudėtingumą ir regioninį dėmesį. Kibernetiniams nusikaltėliams toliau tobulinant savo metodus ir plečiant savo pasiekiamumą, bankams ir jų klientams tampa vis svarbiau imtis griežtų saugumo priemonių. Sąmoningumas ir budrumas tebėra pagrindinės apsaugos priemonės nuo šių besikeičiančių grėsmių.
