AllaSenha:威脅巴西銀行的行動惡意軟體
巴西銀行機構已成為複雜網路攻擊活動的目標,該活動涉及基於 Windows 的 AllaKore 遠端存取木馬 (RAT) 的自訂變體(現稱為 AllaSenha)。在這裡,我們深入研究 AllaSenha 的技術複雜性、其攻擊向量及其對巴西銀行及其客戶的影響。
Table of Contents
阿拉森哈運動
AllaSenha 專門用於竊取存取巴西銀行帳戶所需的憑證。該惡意軟體利用 Azure 雲端服務作為其命令和控制 (C2) 基礎設施,代表著針對金融機構的網路威脅的重大演進。
目標金融機構
該活動針對巴西主要銀行,如 Banco do Brasil、Bradesco、Banco Safra、Caixa Econômica Federal、Itaú Unibanco、Sicoob 和 Sicredi。儘管初始感染的精確方法仍不確定,但人們強烈認為包含惡意連結的網路釣魚訊息是主要媒介。
攻擊發動和惡意軟體部署
攻擊通常從偽裝成PDF 文件的惡意Windows 捷徑(LNK) 檔案「NotaFiscal.pdf.lnk」開始,該檔案自2024 年3 月起一直託管在WebDAV 伺服器上。命令shell 。 shell 開啟一個誘餌 PDF 檔案來分散收件者的注意力,同時從同一台 WebDAV 伺服器擷取名為「c.cmd」的批次腳本 (BAT) 有效負載。
BPyCode 啟動器
此 BAT 負載稱為 BPyCode 啟動器,它會觸發 Base64 編碼的 PowerShell 命令。然後該命令從官方網站下載 Python 二進位檔案以執行名為 BPyCode 的 Python 腳本。 BPyCode 是一個名為「executor.dll」的動態連結程式庫 (DLL) 的下載程序,該程式庫在記憶體中運行。 DLL 是從透過網域產生演算法 (DGA) 產生的網域中取得的,通常與用於動態基礎架構部署的 Microsoft Azure Functions 服務相關聯。
多層有效負載交付
BPyCode 腳本會擷取包含三個元件的 pickle 檔案:第二個 Python 載入器腳本、包含 PythonMemoryModule 套件的 ZIP 檔案以及另一個包含「executor.dll」的 ZIP 檔案。新的Python載入器腳本使用PythonMemoryModule將「executor.dll」(一種名為ExecutorLoader的基於Borland Delphi的惡意軟體)直接載入到記憶體中。 ExecutorLoader 的主要作用是透過將 AllaSenha 注入合法的 mshta.exe 進程來解碼和執行 AllaSenha。
憑證盜竊和雙重認證繞過
AllaSenha 的主要目標是從網頁瀏覽器竊取網路銀行憑證。此外,它還可以顯示覆蓋視窗以捕獲雙重認證 (2FA) 代碼。它甚至可以欺騙受害者掃描二維碼以批准攻擊者發起的詐騙交易。這種複雜的方法允許惡意軟體繞過標準安全措施,對銀行安全構成嚴重風險。
KL Gorki 項目鏈接
所有 AllaSenha 範例均使用檔案名稱「Access_PC_Client_dll.dll」。該檔案名稱也與 KL Gorki 專案相關,這是一種結合了 AllaKore 和 ServerSocket 元件的銀行惡意軟體。此外,一個名為bert1m的葡萄牙語使用者已被確定為該惡意軟體的潛在開發者,儘管沒有具體證據表明他們與該惡意軟體的操作有關。
更廣泛的影響和區域趨勢
AllaSenha 活動突顯了源自拉丁美洲的網路犯罪的更廣泛趨勢。該地區的網路犯罪分子似乎特別擅長發起竊取銀行詳細資訊的活動。雖然他們的主要目標是拉丁美洲的個人,但他們經常破壞巴西國際公司子公司或員工營運的系統,從而擴大其全球影響力。
該地區的其他銀行木馬
AllaSenha 的出現是拉丁美洲更大的銀行木馬攻擊模式的一部分。例如,Forcepoint 最近詳細介紹了分發另一種銀行木馬 Casbaneiro(又名 Metamorfo 和 Ponteiro)的惡意垃圾郵件活動,旨在竊取受害者的財務資訊。這種惡意軟體透過電子郵件中的 HTML 附件分發,引誘使用者執行惡意程式碼,從而導致資料外洩。
Android 銀行木馬:並行威脅
Windows 並不是唯一受到攻擊的平台。還有 Android 銀行惡意軟體活動(TeaBot 和 Toddler)的內容。這些攻擊利用上傳到 Google Play 商店的誘餌應用程序,偽裝成合法的生產力工具。一旦安裝,這些應用程式就會使用覆蓋和可訪問性技術來竊取敏感的銀行憑證。
AllaSenha 活動凸顯了針對金融機構的網路威脅日益複雜性和區域性的關注。隨著網路犯罪分子不斷改進其方法並擴大其影響範圍,銀行及其客戶採取強有力的安全措施變得越來越重要。意識和警覺仍然是抵禦這些不斷變化的威脅的關鍵。
