AllaSenha: мобильное вредоносное ПО угрожает бразильским банкам
Бразильские банковские учреждения стали объектами сложной кампании кибератак с использованием специального варианта трояна удаленного доступа AllaKore (RAT) для Windows, известного теперь как AllaSenha. Здесь мы углубимся в технические тонкости AllaSenha, вектор ее атаки и ее последствия для бразильских банков и их клиентов.
Table of Contents
Кампания АллаСеньха
AllaSenha специально разработана для кражи учетных данных, необходимых для доступа к счетам в бразильских банках. Используя облачные сервисы Azure для своей инфраструктуры управления и контроля (C2), вредоносное ПО представляет собой значительную эволюцию киберугроз, нацеленных на финансовые учреждения.
Целевые финансовые учреждения
Кампания нацелена на крупные бразильские банки, такие как Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob и Sicredi. Хотя точный метод первоначального заражения остается неопределенным, основным вектором заражения считаются фишинговые сообщения, содержащие вредоносные ссылки.
Инициирование атаки и развертывание вредоносного ПО
Атака обычно начинается с вредоносного файла ярлыка Windows (LNK), замаскированного под PDF-документ NotaFiscal.pdf.lnk, который размещается на сервере WebDAV с марта 2024 года. После запуска этот файл LNK запускает командную оболочку Windows. . Оболочка открывает ложный PDF-файл, чтобы отвлечь получателя, одновременно получая полезную нагрузку пакетного сценария (BAT) с именем «c.cmd» с того же сервера WebDAV.
Программа запуска BPyCode
Эта полезная нагрузка BAT, получившая название средства запуска BPyCode, запускает команду PowerShell в кодировке Base64. Затем команда загружает двоичный файл Python с официального сайта для выполнения скрипта Python с именем BPyCode. BPyCode — это загрузчик библиотеки динамической компоновки (DLL) под названием «executor.dll», которая работает в памяти. DLL извлекается из доменных имен, созданных с помощью алгоритма генерации доменов (DGA), который часто связан со службой функций Microsoft Azure для динамического развертывания инфраструктуры.
Многоэтапная доставка полезной нагрузки
Сценарий BPyCode извлекает файл Pickle, содержащий три компонента: второй сценарий загрузчика Python, ZIP-архив с пакетом PythonMemoryModule и еще один ZIP-архив, содержащий «executor.dll». Новый скрипт-загрузчик Python использует PythonMemoryModule для загрузки «executor.dll», вредоносной программы на базе Borland Delphi под названием ExecutorLoader, непосредственно в память. Основная роль ExecutorLoader — декодировать и выполнить AllaSenha, внедрив его в законный процесс mshta.exe.
Кража учетных данных и обход двухфакторной аутентификации
Основная цель AllaSenha — украсть учетные данные онлайн-банкинга из веб-браузеров. Кроме того, он может отображать наложенные окна для захвата кодов двухфакторной аутентификации (2FA). Он может даже обмануть жертв, заставив их сканировать QR-код для подтверждения мошеннических транзакций, инициированных злоумышленниками. Этот сложный метод позволяет вредоносному ПО обходить стандартные меры безопасности, создавая серьезную угрозу для банковской безопасности.
Ссылки на проект КЛ Горки
Во всех образцах AllaSenha используется имя файла «Access_PC_Client_dll.dll». Это имя файла также связано с проектом KL Gorki — банковским вредоносным ПО, сочетающим в себе компоненты AllaKore и ServerSocket. Кроме того, португалоязычный пользователь по имени bert1m был идентифицирован как потенциальный разработчик вредоносного ПО, хотя конкретных доказательств его причастности к его работе нет.
Более широкие последствия и региональные тенденции
Кампания AllaSenha подчеркивает более широкую тенденцию киберпреступности, исходящую из Латинской Америки. Киберпреступники в этом регионе, похоже, особенно искусны в проведении кампаний по краже банковских реквизитов. Хотя их основной целью являются частные лица в Латинской Америке, они часто компрометируют системы, которыми управляют дочерние компании или сотрудники международных компаний, базирующихся в Бразилии, расширяя свой глобальный охват.
Другие банковские трояны в регионе
Появление AllaSenha является частью более широкой схемы атак банковских троянов в Латинской Америке. Например, компания Forcepoint недавно подробно описала спам-кампании по распространению другого банковского трояна, Casbaneiro (также известного как Metamorfo и Ponteiro), целью которого является перекачивание финансовой информации жертв. Это вредоносное ПО, распространяемое через HTML-вложения к электронным письмам, побуждает пользователей выполнить вредоносный код, что приводит к компрометации данных.
Банковские трояны для Android: параллельная угроза
Windows — не единственная платформа, подвергшаяся атаке. Также проводится кампания по вредоносному ПО для банковских систем Android с участием Anatsa (TeaBot и Toddler). В этих атаках используются ложные приложения, загруженные в магазин Google Play, замаскированные под законные инструменты повышения производительности. После установки эти приложения крадут конфиденциальные банковские учетные данные, используя методы наложения и обеспечения доступности.
Кампания AllaSenha подчеркивает растущую сложность и региональную направленность киберугроз, нацеленных на финансовые учреждения. Поскольку киберпреступники продолжают совершенствовать свои методы и расширять сферу своей деятельности, для банков и их клиентов становится все более важным принятие надежных мер безопасности. Осведомленность и бдительность остаются ключевыми средствами защиты от этих развивающихся угроз.
