Braziliaanse bankinstellingen zijn het doelwit van een nieuwe campagne die een aangepaste variant van de Windows-gebaseerde AllaKore remote access trojan (RAT) verspreidt, genaamd AllaSenha.
De malware is “specifiek gericht op het stelen van inloggegevens die nodig zijn om toegang te krijgen tot Braziliaanse bankrekeningen, en maakt gebruik van de Azure-cloud als command-and-control (C2)-infrastructuur”, aldus het Franse cyberbeveiligingsbedrijf HarfangLab in een technische analyse.
Doelstellingen van de campagne zijn onder meer banken als Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob en Sicredi. De initiële toegangsvector, hoewel nog niet definitief bevestigd, wijst in de richting van het gebruik van kwaadaardige links in phishing-berichten.
Het startpunt van de aanval is een kwaadaardig Windows-snelkoppelingsbestand (LNK) dat zich voordoet als een PDF-document (“NotaFiscal.pdf.lnk”) dat sinds maart 2024 op een WebDAV-server wordt gehost. Er zijn ook aanwijzingen dat de dreiging Acteurs achter de activiteit maakten eerder misbruik van legitieme diensten zoals Autodesk A360 Drive en GitHub om de payloads te hosten.
Wanneer het LNK-bestand wordt gestart, voert het een Windows-opdrachtshell uit die is ontworpen om een lok-PDF-bestand voor de ontvanger te openen, terwijl tegelijkertijd een BAT-payload met de naam “c.cmd” wordt opgehaald van dezelfde WebDAV-serverlocatie.
Het bestand, dat de BPyCode-launcher wordt genoemd, lanceert een met Base64 gecodeerde PowerShell-opdracht, die vervolgens het binaire Python-bestand downloadt van de officiële website www.python(.)org om een Python-script met de codenaam BPyCode uit te voeren.
BPyCode functioneert op zijn beurt als een downloader voor een dynamic-link bibliotheek (“executor.dll”) en voert deze uit in het geheugen. De DLL wordt opgehaald uit een van de domeinnamen die zijn gegenereerd via een domeingeneratie-algoritme (DGA).
“De gegenereerde hostnamen lijken overeen te komen met de namen die zijn gekoppeld aan de Microsoft Azure Functions-service, een serverloze infrastructuur waarmee operators in dit geval hun staging-infrastructuur eenvoudig kunnen inzetten en roteren”, aldus het bedrijf.
Concreet haalt BPyCode een pickle-bestand op dat drie bestanden bevat: een tweede Python-loaderscript, een ZIP-archief met het PythonMemoryModule-pakket en een ander ZIP-archief met “executor.dll.”
Het nieuwe Python-loaderscript wordt vervolgens gelanceerd om executor.dll, een op Borland Delphi gebaseerde malware, ook wel ExecutorLoader genoemd, in het geheugen te laden met behulp van PythonMemoryModule. ExecutorLoader is primair belast met het decoderen en uitvoeren van AllaSenha door het in een legitiem mshta.exe-proces te injecteren.
Naast het stelen van inloggegevens voor internetbankieren uit webbrowsers, biedt AllaSenha ook de mogelijkheid om overlayvensters weer te geven om tweefactorauthenticatiecodes (2FA) vast te leggen en zelfs een slachtoffer te misleiden om een QR-code te scannen om een frauduleuze transactie goed te keuren die is geïnitieerd door de aanvallers.
“Alle AllaSenha-voorbeelden (…) gebruiken Access_PC_Client_dll.dll als hun oorspronkelijke bestandsnaam”, merkte HarfangLab op. “Deze naam is met name terug te vinden in het KL Gorki-project, een bankmalware die componenten van zowel AllaKore als ServerSocket lijkt te combineren.”
Nadere analyse van de broncode die is gekoppeld aan het oorspronkelijke LNK-bestand en AllaSenha-voorbeelden heeft uitgewezen dat een Portugeessprekende gebruiker genaamd bert1m waarschijnlijk verband houdt met de ontwikkeling van de malware, hoewel er in dit stadium geen bewijs is dat suggereert dat zij de malware exploiteren. gereedschap ook.
“De dreigingsactoren die actief zijn in Latijns-Amerika lijken een bijzonder productieve bron van cybercriminaliteitscampagnes te zijn”, aldus HarfangLab.
“Hoewel deze actoren zich vrijwel uitsluitend richten op Latijns-Amerikaanse individuen om bankgegevens te stelen, komen ze vaak terecht in het compromitteren van computers die inderdaad worden beheerd door dochterondernemingen of werknemers in Brazilië, maar die toebehoren aan bedrijven over de hele wereld.”
De ontwikkeling komt doordat Forcepoint gedetailleerde malspamcampagnes heeft uitgevoerd, waarbij een andere op Latijns-Amerika gerichte banktrojan genaamd Casbaneiro (ook bekend als Metamorfo en Ponteiro) via HTML-bijlagen wordt verspreid met als doel de financiële informatie van slachtoffers over te hevelen.
“De malware die via e-mail wordt verspreid, spoort de gebruiker aan om op de bijlage te klikken”, aldus beveiligingsonderzoeker Prashant Kumar. “De bijlage bevat kwaadaardige code die een reeks activiteiten uitvoert en tot gegevenscompromis leidt.”
Anatsa Android Banking Trojan sluipt de Google Play Store binnen
Het is niet alleen Windows dat aan de ontvangende kant is van de banking trojan-aanvallen, want Zscaler ThreatLabz heeft details onthuld van een malware-campagne voor Android-bankieren die gebruik maakte van lokapplicaties die naar de Google Play Store waren geüpload om Anatsa (ook bekend als TeaBot en Toddler) te leveren.
Deze schone dropper-applicaties doen zich voor als schijnbaar onschadelijke productiviteits- en hulpprogramma's zoals PDF-lezers, QR-codelezers en vertalers, en maken gebruik van een identieke infectieketen die eerder dit jaar door ThreatFabric werd onthuld om de malware op te halen en te implementeren van een externe server onder het mom van een app-update om detectie te omzeilen.
De apps, die inmiddels door Google zijn verwijderd, staan hieronder vermeld:
- com.appandutilitytools.fileqrutility (QR-lezer en bestandsbeheer)
- com.ultimatefilesviewer.filemanagerwithpdfsupport (PDF-lezer en bestandsbeheer)
Volgens de statistieken die beschikbaar zijn op Sensor Tower zijn PDF Reader & File Manager tussen de 500 en 1.000 keer geïnstalleerd, terwijl de app voor het lezen van QR-codes tussen de 50.000 en 100.000 keer is geïnstalleerd.
“Eenmaal geïnstalleerd, exfiltreert Anatsa gevoelige bankgegevens en financiële informatie uit wereldwijde financiële applicaties”, aldus onderzoekers Himanshu Sharma en Gajanan Khond. “Het bereikt dit door het gebruik van overlay- en toegankelijkheidstechnieken, waardoor het op discrete wijze gegevens kan onderscheppen en verzamelen.”
Zscaler zei dat het de afgelopen maanden meer dan 90 kwaadaardige apps in de Play Store heeft geïdentificeerd die gezamenlijk meer dan 5,5 miljoen installaties hebben gehad en die werden gebruikt om verschillende malwarefamilies zoals Joker, Facestealer, Anatsa, Coper en andere adware te verspreiden.