AllaSenha: Den mobila skadliga programvaran som hotar brasilianska banker
Brasilianska bankinstitutioner har blivit måltavlor för en sofistikerad cyberattackkampanj som involverar en anpassad variant av den Windows-baserade AllaKore fjärråtkomsttrojanen (RAT), nu känd som AllaSenha. Här fördjupar vi oss i de tekniska krångligheterna hos AllaSenha, dess attackvektor och dess konsekvenser för brasilianska banker och deras kunder.
Table of Contents
AllaSenha-kampanjen
AllaSenha är speciellt konstruerad för att stjäla autentiseringsuppgifter som behövs för att komma åt brasilianska bankkonton. Genom att utnyttja Azures molntjänster för sin kommando-och-kontroll-infrastruktur (C2) representerar skadlig programvara en betydande utveckling av cyberhot som riktar sig mot finansiella institutioner.
Riktade finansiella institutioner
Kampanjen riktar sig till stora brasilianska banker som Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob och Sicredi. Även om den exakta metoden för initial infektion fortfarande är osäker, anses nätfiskemeddelanden som innehåller skadliga länkar starkt vara den primära vektorn.
Attackinitiering och distribution av skadlig programvara
Attacken börjar vanligtvis med en skadlig Windows-genvägsfil (LNK) förklädd som ett PDF-dokument, "NotaFiscal.pdf.lnk", som har varit värd på en WebDAV-server sedan mars 2024. När den har lanserats, kör denna LNK-fil ett Windows-kommandoskal . Skalet öppnar en lockbets-PDF-fil för att distrahera mottagaren samtidigt som det hämtar en batch script (BAT) nyttolast med namnet "c.cmd" från samma WebDAV-server.
BPyCode Launcher
Den här BAT-nyttolasten, kallad BPyCode-startprogrammet, utlöser ett Base64-kodat PowerShell-kommando. Kommandot laddar sedan ner Python-binären från den officiella webbplatsen för att köra ett Python-skript som heter BPyCode. BPyCode är ett nedladdningsprogram för ett dynamiskt länkbibliotek (DLL) som heter "executor.dll", som körs i minnet. DLL:n hämtas från domännamn som genereras via en domängenereringsalgoritm (DGA), ofta associerad med tjänsten Microsoft Azure Functions för dynamisk infrastrukturdistribution.
Flerstegs leverans av nyttolast
BPyCode-skriptet hämtar en pickle-fil som innehåller tre komponenter: ett andra Python-laddningsskript, ett ZIP-arkiv med PythonMemoryModule-paketet och ett annat ZIP-arkiv som innehåller "executor.dll." Det nya Python-laddningsskriptet använder PythonMemoryModule för att ladda "executor.dll", en Borland Delphi-baserad skadlig programvara som heter ExecutorLoader, direkt i minnet. ExecutorLoaders primära roll är att avkoda och exekvera AllaSenha genom att injicera den i en legitim mshta.exe-process.
Autentiseringsstöld och förbikoppling av tvåfaktorsautentisering
AllaSenhas primära mål är att stjäla nätbanksuppgifter från webbläsare. Dessutom kan den visa överläggsfönster för att fånga tvåfaktorsautentiseringskoder (2FA). Det kan till och med lura offren att skanna en QR-kod för att godkänna bedrägliga transaktioner initierade av angriparna. Denna sofistikerade metod tillåter skadlig programvara att kringgå standardsäkerhetsåtgärder, vilket utgör en allvarlig risk för banksäkerheten.
Länkar till KL Gorki Project
Alla AllaSenha-exempel använder filnamnet "Access_PC_Client_dll.dll." Detta filnamn är också associerat med KL Gorki-projektet, ett bankprogram som kombinerar komponenter från AllaKore och ServerSocket. Dessutom har en portugisisktalande användare vid namn bert1m identifierats som en potentiell utvecklare av skadlig programvara, även om det inte finns några konkreta bevis som kopplar dem till dess funktion.
Bredare konsekvenser och regionala trender
AllaSenha-kampanjen belyser en bredare trend av cyberbrottslighet som kommer från Latinamerika. Cyberkriminella i denna region verkar vara särskilt skickliga på att lansera kampanjer för att stjäla bankuppgifter. Medan deras primära mål är individer i Latinamerika, kompromissar de ofta med system som drivs av dotterbolag eller anställda i internationella företag baserade i Brasilien, vilket utökar deras globala räckvidd.
Andra banktrojaner i regionen
Framväxten av AllaSenha är en del av ett större mönster av banktrojansattacker i Latinamerika. Till exempel har Forcepoint nyligen detaljerat malspam-kampanjer som distribuerar en annan banktrojan, Casbaneiro (alias Metamorfo och Ponteiro), som syftar till att suga bort offrens finansiella information. Denna skadliga programvara, distribuerad via HTML-bilagor i e-postmeddelanden, lockar användare att köra skadlig kod, vilket leder till datakompromettering.
Android Banking Trojans: A Parallel Threat
Windows är inte den enda plattformen som attackeras. Det finns också en Android-bankkampanj med skadlig kod som involverar Anatsa (TeaBot och Toddler). Dessa attacker använder lockbeteappar som laddas upp till Google Play Butik förklädda som legitima produktivitetsverktyg. När de väl har installerats exfiltrerar dessa appar känsliga bankuppgifter med hjälp av överlagrings- och tillgänglighetstekniker.
AllaSenha-kampanjen understryker den växande sofistikeringen och den regionala fokuseringen av cyberhot som riktar sig mot finansiella institutioner. När cyberbrottslingar fortsätter att förfina sina metoder och utöka sin räckvidd, blir det allt viktigare för banker och deras kunder att vidta robusta säkerhetsåtgärder. Medvetenhet och vaksamhet är fortfarande viktiga försvar mot dessa föränderliga hot.
