AllaSenha: szkodliwe oprogramowanie mobilne zagrażające brazylijskim bankom
Brazylijskie instytucje bankowe stały się celem wyrafinowanej kampanii cyberataków z udziałem niestandardowego wariantu trojana zdalnego dostępu AllaKore (RAT) opartego na systemie Windows, znanego obecnie jako AllaSenha. W tym miejscu zagłębiamy się w techniczne zawiłości AllaSenha, wektor ataku i jego konsekwencje dla brazylijskich banków i ich klientów.
Table of Contents
Kampania AllaSenha
AllaSenha została specjalnie zaprojektowana do kradzieży danych uwierzytelniających niezbędnych do uzyskania dostępu do brazylijskich kont bankowych. Wykorzystując usługi w chmurze Azure w swojej infrastrukturze dowodzenia i kontroli (C2), złośliwe oprogramowanie stanowi znaczącą ewolucję w zakresie cyberzagrożeń atakujących instytucje finansowe.
Docelowe instytucje finansowe
Kampania skierowana jest do największych brazylijskich banków, takich jak Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob i Sicredi. Chociaż dokładna metoda początkowej infekcji pozostaje niepewna, zdecydowanie uważa się, że głównym wektorem są wiadomości phishingowe zawierające złośliwe linki.
Inicjowanie ataku i wdrażanie złośliwego oprogramowania
Atak zwykle rozpoczyna się od złośliwego pliku skrótu systemu Windows (LNK) podszywającego się pod dokument PDF „NotaFiscal.pdf.lnk”, który znajduje się na serwerze WebDAV od marca 2024 r. Po uruchomieniu ten plik LNK wykonuje powłokę poleceń systemu Windows . Powłoka otwiera fałszywy plik PDF, aby odwrócić uwagę odbiorcy, jednocześnie pobierając ładunek skryptu wsadowego (BAT) o nazwie „c.cmd” z tego samego serwera WebDAV.
Program uruchamiający BPyCode
Ten ładunek BAT, nazwany programem uruchamiającym BPyCode, uruchamia polecenie PowerShell zakodowane w formacie Base64. Następnie polecenie pobiera plik binarny języka Python z oficjalnej witryny internetowej w celu wykonania skryptu w języku Python o nazwie BPyCode. BPyCode to narzędzie do pobierania biblioteki dołączanej dynamicznie (DLL) o nazwie „executor.dll”, która działa w pamięci. Biblioteka DLL jest pobierana z nazw domen generowanych za pomocą algorytmu generowania domeny (DGA), często powiązanego z usługą Microsoft Azure Functions na potrzeby dynamicznego wdrażania infrastruktury.
Wieloetapowe dostarczanie ładunku
Skrypt BPyCode pobiera plik pickle zawierający trzy komponenty: drugi skrypt ładujący Pythona, archiwum ZIP z pakietem PythonMemoryModule i kolejne archiwum ZIP zawierające plik „executor.dll”. Nowy skrypt modułu ładującego Pythona wykorzystuje moduł PythonMemoryModule do ładowania „executor.dll”, szkodliwego oprogramowania opartego na Borland Delphi o nazwie ExecutorLoader, bezpośrednio do pamięci. Podstawową rolą ExecutorLoadera jest dekodowanie i uruchamianie AllaSenha poprzez wstrzyknięcie go do legalnego procesu mshta.exe.
Kradzież danych uwierzytelniających i obejście uwierzytelniania dwuskładnikowego
Głównym celem AllaSenha jest kradzież danych uwierzytelniających do bankowości internetowej z przeglądarek internetowych. Dodatkowo może wyświetlać nakładane okna w celu przechwytywania kodów uwierzytelniania dwuskładnikowego (2FA). Może nawet oszukać ofiary, aby zeskanowały kod QR w celu zatwierdzenia fałszywych transakcji zainicjowanych przez atakujących. Ta wyrafinowana metoda pozwala złośliwemu oprogramowaniu ominąć standardowe zabezpieczenia, stwarzając poważne ryzyko dla bezpieczeństwa bankowości.
Linki do Projektu KL Gorki
Wszystkie próbki AllaSenha używają nazwy pliku „Access_PC_Client_dll.dll”. Ta nazwa pliku jest również powiązana z projektem KL Gorki, szkodliwym oprogramowaniem bankowym łączącym komponenty AllaKore i ServerSocket. Co więcej, za potencjalnego twórcę szkodliwego oprogramowania zidentyfikowano portugalskojęzycznego użytkownika o imieniu bert1m , chociaż nie ma konkretnych dowodów łączących go z jego działaniem.
Szersze implikacje i trendy regionalne
Kampania AllaSenha podkreśla szerszy trend cyberprzestępczości wywodzącej się z Ameryki Łacińskiej. Wydaje się, że cyberprzestępcy w tym regionie są szczególnie biegli w przeprowadzaniu kampanii mających na celu kradzież danych bankowych. Chociaż ich głównymi celami są osoby w Ameryce Łacińskiej, często atakują systemy obsługiwane przez spółki zależne lub pracowników międzynarodowych firm z siedzibą w Brazylii, rozszerzając ich globalny zasięg.
Inne trojany bankowe w regionie
Pojawienie się AllaSenha jest częścią szerszego wzorca ataków trojanów bankowych w Ameryce Łacińskiej. Na przykład Forcepoint szczegółowo opisał ostatnio kampanie malspamowe dystrybuujące innego trojana bankowego, Casbaneiro (znanego również jako Metamorfo i Ponteiro), mające na celu wysysanie informacji finansowych od ofiar. To złośliwe oprogramowanie, rozpowszechniane za pośrednictwem załączników HTML w wiadomościach e-mail, wabi użytkowników do wykonania złośliwego kodu, co prowadzi do naruszenia bezpieczeństwa danych.
Trojany bankowe na Androida: zagrożenie równoległe
Windows nie jest jedyną platformą atakowaną. Prowadzona jest także kampania złośliwego oprogramowania bankowego dla systemu Android, w której uczestniczy Anatsa (TeaBot i Toddler). Ataki te wykorzystują aplikacje-wabiki przesłane do sklepu Google Play podszywające się pod legalne narzędzia zwiększające produktywność. Po zainstalowaniu aplikacje te wydobywają poufne dane bankowe przy użyciu technik nakładek i ułatwień dostępu.
Kampania AllaSenha podkreśla rosnące wyrafinowanie i regionalny charakter zagrożeń cybernetycznych atakujących instytucje finansowe. W miarę jak cyberprzestępcy stale udoskonalają swoje metody i poszerzają swój zasięg, dla banków i ich klientów coraz ważniejsze staje się wdrażanie solidnych środków bezpieczeństwa. Świadomość i czujność pozostają kluczowymi mechanizmami obrony przed tymi ewoluującymi zagrożeniami.
