AllaSenha: The Mobile Malware Threatening Brazilian Banks
Brasilianske bankinstitusjoner har blitt mål for en sofistikert nettangrepskampanje som involverer en tilpasset variant av den Windows-baserte AllaKore remote access trojan (RAT), nå kjent som AllaSenha. Her fordyper vi oss i de tekniske forviklingene til AllaSenha, dens angrepsvektor og dens implikasjoner for brasilianske banker og deres kunder.
Table of Contents
AllaSenha-kampanjen
AllaSenha er spesielt utviklet for å stjele legitimasjon som er nødvendig for å få tilgang til brasilianske bankkontoer. Ved å utnytte Azure-skytjenester for sin kommando-og-kontroll (C2)-infrastruktur, representerer skadevare en betydelig utvikling i cybertrusler rettet mot finansinstitusjoner.
Målrettede finansinstitusjoner
Kampanjen retter seg mot store brasilianske banker som Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob og Sicredi. Selv om den nøyaktige metoden for første infeksjon fortsatt er usikker, antas det sterkt å være phishing-meldinger som inneholder ondsinnede koblinger å være den primære vektoren.
Angrepsinitiering og distribusjon av skadelig programvare
Angrepet begynner vanligvis med en ondsinnet Windows-snarvei (LNK)-fil forkledd som et PDF-dokument, «NotaFiscal.pdf.lnk», som har vært vert på en WebDAV-server siden mars 2024. Når den er lansert, kjører denne LNK-filen et Windows-kommandoskall . Skallet åpner en lokke-PDF-fil for å distrahere mottakeren og samtidig hente en batch script (BAT) nyttelast kalt "c.cmd" fra den samme WebDAV-serveren.
BPyCode Launcher
Denne BAT-nyttelasten, kalt BPyCode-starteren, utløser en Base64-kodet PowerShell-kommando. Kommandoen laster deretter ned Python-binæren fra den offisielle nettsiden for å utføre et Python-skript kalt BPyCode. BPyCode er en nedlaster for et dynamisk koblingsbibliotek (DLL) kalt "executor.dll", som kjører i minnet. DLL-en hentes fra domenenavn generert via en domenegenereringsalgoritme (DGA), ofte assosiert med Microsoft Azure Functions-tjenesten for dynamisk infrastrukturimplementering.
Flertrinns nyttelastlevering
BPyCode-skriptet henter en pickle-fil som inneholder tre komponenter: et andre Python-lasterskript, et ZIP-arkiv med PythonMemoryModule-pakken og et annet ZIP-arkiv som inneholder "executor.dll." Det nye Python-lasterskriptet bruker PythonMemoryModule til å laste "executor.dll", en Borland Delphi-basert skadelig programvare kalt ExecutorLoader, direkte inn i minnet. ExecutorLoaders primære rolle er å dekode og utføre AllaSenha ved å injisere den i en legitim mshta.exe-prosess.
Legitimasjonstyveri og omgåelse av tofaktorautentisering
AllaSenhas primære mål er å stjele nettbanklegitimasjon fra nettlesere. I tillegg kan den vise overleggsvinduer for å fange opp tofaktorautentiseringskoder (2FA). Det kan til og med lure ofre til å skanne en QR-kode for å godkjenne uredelige transaksjoner initiert av angriperne. Denne sofistikerte metoden lar skadevare omgå standard sikkerhetstiltak, noe som utgjør en alvorlig risiko for banksikkerhet.
Lenker til KL Gorki-prosjektet
Alle AllaSenha-eksempler bruker filnavnet "Access_PC_Client_dll.dll." Dette filnavnet er også assosiert med KL Gorki-prosjektet, en bankprogramvare som kombinerer komponenter av AllaKore og ServerSocket. Videre har en portugisisktalende bruker ved navn bert1m blitt identifisert som en potensiell utvikler av skadevaren, selv om det ikke er noen konkrete bevis som knytter dem til driften.
Bredere implikasjoner og regionale trender
AllaSenha-kampanjen fremhever en bredere trend med nettkriminalitet som stammer fra Latin-Amerika. Nettkriminelle i denne regionen ser ut til å være spesielt dyktige til å lansere kampanjer for å stjele bankdetaljer. Mens deres primære mål er enkeltpersoner i Latin-Amerika, går de ofte på akkord med systemer som drives av datterselskaper eller ansatte i internasjonale selskaper basert i Brasil, og utvider deres globale rekkevidde.
Andre banktrojanere i regionen
Fremveksten av AllaSenha er en del av et større mønster av banktrojanske angrep i Latin-Amerika. For eksempel har Forcepoint nylig detaljert malspam-kampanjer som distribuerer en annen banktrojaner, Casbaneiro (aka Metamorfo og Ponteiro), med sikte på å suge ofrenes økonomiske informasjon. Denne skadelige programvaren, distribuert via HTML-vedlegg i e-post, lokker brukere til å kjøre skadelig kode, noe som fører til datakompromittering.
Android Banking Trojans: A Parallel Threat
Windows er ikke den eneste plattformen under angrep. Det er også en Android-bankprogramvarekampanje som involverer Anatsa (TeaBot og Toddler). Disse angrepene bruker lokkeapplikasjoner lastet opp til Google Play-butikken forkledd som legitime produktivitetsverktøy. Når de er installert, eksfiltrerer disse appene sensitiv banklegitimasjon ved å bruke overleggs- og tilgjengelighetsteknikker.
AllaSenha-kampanjen understreker det økende sofistikerte og regionale fokuset til cybertrusler rettet mot finansinstitusjoner. Etter hvert som nettkriminelle fortsetter å avgrense metodene sine og utvide rekkevidden, blir det stadig viktigere for bankene og deres kunder å ta i bruk robuste sikkerhetstiltak. Bevissthet og årvåkenhet er fortsatt viktige forsvar mot disse utviklende truslene.
