AllaSenha: de mobiele malware die Braziliaanse banken bedreigt
Braziliaanse bankinstellingen zijn het doelwit geworden van een geavanceerde cyberaanvalcampagne waarbij een aangepaste variant van de Windows-gebaseerde AllaKore remote access trojan (RAT), nu bekend als AllaSenha, betrokken is. Hier duiken we in de technische complexiteit van AllaSenha, de aanvalsvector ervan, en de implicaties ervan voor Braziliaanse banken en hun klanten.
Table of Contents
De AllaSenha-campagne
AllaSenha is speciaal ontworpen om inloggegevens te stelen die nodig zijn voor toegang tot Braziliaanse bankrekeningen. Door gebruik te maken van Azure-cloudservices voor de command-and-control (C2)-infrastructuur, vertegenwoordigt de malware een aanzienlijke evolutie in cyberdreigingen gericht op financiële instellingen.
Gerichte financiële instellingen
De campagne richt zich op grote Braziliaanse banken zoals Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob en Sicredi. Hoewel de precieze methode van initiële infectie onzeker blijft, wordt er sterk van uitgegaan dat phishing-berichten met kwaadaardige links de primaire vector zijn.
Aanvalsinitiatie en implementatie van malware
De aanval begint doorgaans met een kwaadaardig Windows-snelkoppelingsbestand (LNK), vermomd als een PDF-document, "NotaFiscal.pdf.lnk", dat sinds maart 2024 op een WebDAV-server wordt gehost. Eenmaal gelanceerd, voert dit LNK-bestand een Windows-opdrachtshell uit. . De shell opent een lok-PDF-bestand om de ontvanger af te leiden en haalt tegelijkertijd een batchscript (BAT)-payload met de naam "c.cmd" op van dezelfde WebDAV-server.
De BpyCode Launcher
Deze BAT-payload, ook wel de BPyCode-launcher genoemd, activeert een Base64-gecodeerde PowerShell-opdracht. De opdracht downloadt vervolgens het binaire Python-bestand van de officiële website om een Python-script met de naam BPyCode uit te voeren. BPyCode is een downloader voor een dynamic-link bibliotheek (DLL) genaamd "executor.dll", die in het geheugen draait. De DLL wordt opgehaald uit domeinnamen die zijn gegenereerd via een domeingeneratie-algoritme (DGA), vaak geassocieerd met de Microsoft Azure Functions-service voor dynamische infrastructuurimplementatie.
Levering van lading in meerdere fasen
Het BPyCode-script haalt een pickle-bestand op met drie componenten: een tweede Python-loaderscript, een ZIP-archief met het PythonMemoryModule-pakket en een ander ZIP-archief met "executor.dll." Het nieuwe Python-loaderscript gebruikt PythonMemoryModule om "executor.dll", een op Borland Delphi gebaseerde malware genaamd ExecutorLoader, rechtstreeks in het geheugen te laden. De primaire rol van ExecutorLoader is het decoderen en uitvoeren van AllaSenha door het in een legitiem mshta.exe-proces te injecteren.
Diefstal van inloggegevens en omzeiling van tweefactorauthenticatie
Het primaire doel van AllaSenha is het stelen van inloggegevens voor online bankieren uit webbrowsers. Bovendien kan het overlay-vensters weergeven om codes voor tweefactorauthenticatie (2FA) vast te leggen. Het kan slachtoffers zelfs misleiden om een QR-code te scannen om frauduleuze transacties goed te keuren die door de aanvallers zijn geïnitieerd. Dankzij deze geavanceerde methode kan de malware de standaardbeveiligingsmaatregelen omzeilen, wat een ernstig risico voor de veiligheid van het bankwezen met zich meebrengt.
Links naar het KL Gorki-project
Alle AllaSenha-voorbeelden gebruiken de bestandsnaam "Access_PC_Client_dll.dll." Deze bestandsnaam wordt ook geassocieerd met het KL Gorki-project, een bankmalware die componenten van AllaKore en ServerSocket combineert. Bovendien is een Portugeessprekende gebruiker genaamd bert1m geïdentificeerd als een potentiële ontwikkelaar van de malware, hoewel er geen concreet bewijs is dat deze in verband staat met de werking ervan.
Bredere implicaties en regionale trends
De AllaSenha-campagne benadrukt een bredere trend van cybercriminaliteit afkomstig uit Latijns-Amerika. Cybercriminelen in deze regio lijken bijzonder bedreven in het lanceren van campagnes om bankgegevens te stelen. Hoewel hun primaire doelwit individuen in Latijns-Amerika zijn, compromitteren ze vaak systemen die worden beheerd door dochterondernemingen of werknemers van internationale bedrijven die in Brazilië zijn gevestigd, waardoor hun mondiale bereik wordt vergroot.
Andere banktrojans in de regio
De opkomst van AllaSenha maakt deel uit van een groter patroon van banktrojanaanvallen in Latijns-Amerika. Forcepoint heeft onlangs bijvoorbeeld malspamcampagnes gedetailleerd beschreven waarbij een andere banktrojan werd verspreid, Casbaneiro (ook bekend als Metamorfo en Ponteiro), met als doel de financiële informatie van slachtoffers over te hevelen. Deze malware, die wordt verspreid via HTML-bijlagen in e-mails, verleidt gebruikers tot het uitvoeren van kwaadaardige code, wat leidt tot gegevenscompromis.
Trojaanse paarden voor Android Banking: een parallelle bedreiging
Windows is niet het enige platform dat wordt aangevallen. Er is ook een malwarecampagne voor Android-bankieren waarbij Anatsa (TeaBot en Toddler) betrokken zijn. Deze aanvallen maken gebruik van lokapplicaties die zijn geüpload naar de Google Play Store, vermomd als legitieme productiviteitstools. Eenmaal geïnstalleerd, exfiltreren deze apps gevoelige bankgegevens met behulp van overlay- en toegankelijkheidstechnieken.
De AllaSenha-campagne onderstreept de toenemende verfijning en regionale focus van cyberdreigingen gericht op financiële instellingen. Terwijl cybercriminelen hun methoden blijven verfijnen en hun bereik vergroten, wordt het voor banken en hun klanten steeds belangrijker om robuuste beveiligingsmaatregelen te nemen. Bewustzijn en waakzaamheid blijven belangrijke verdedigingsmechanismen tegen deze evoluerende bedreigingen.
