AllaSenha Mobile Malware
Brasilianische Banken sehen sich einem neuen Angriff ausgesetzt, da eine neue Kampagne einen Remote Access Trojan (RAT) namens AllaSenha einführt. Diese Malware ist darauf zugeschnitten, die für den Zugriff auf brasilianische Bankkonten wichtigen Zugangsdaten zu stehlen, und nutzt die Azure-Cloud als Command-and-Control-Infrastruktur (C2). Analysten, die diese Bedrohung genau unter die Lupe nehmen, haben ihre Ähnlichkeit mit einer angepassten Iteration der Windows-basierten mobilen Malware AllaKore bestätigt.
Zu den namhaften Bankinstituten, die von dieser bekannt gewordenen Offensive betroffen waren, zählen Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob und Sicredi. Während die genaue ursprüngliche Zugriffsmethode noch nicht bestätigt ist, deuten Hinweise auf die Verwendung bedrohlicher Links in Phishing-Nachrichten hin.
Inhaltsverzeichnis
Die Anfangsphase der Angriffskette, die AllaSenha RAT ausliefert
Der Angriff beginnt mit einer irreführenden Windows-Verknüpfungsdatei (LNK), die sich als PDF-Dokument ausgibt („NotaFiscal.pdf.lnk“) und seit mindestens März 2024 auf einem WebDAV-Server gehostet wird. Darüber hinaus gibt es Hinweise darauf, dass die Bedrohungsakteure hinter dieser Operation zuvor legitime Dienste wie Autodesk A360 Drive und GitHub ausgenutzt haben, um ihre Nutzdaten zu hosten.
Bei der Ausführung löst die LNK-Datei eine Windows-Eingabeaufforderung aus, die dem Empfänger eine gefälschte PDF-Datei anzeigt und gleichzeitig eine BAT-Nutzlast mit dem Namen „c.cmd“ vom selben WebDAV-Serverspeicherort abruft.
Diese als BPyCode-Launcher bekannte Datei initiiert einen Base64-codierten PowerShell-Befehl, der wiederum die Python-Binärdatei von der offiziellen Site www.python.org herunterlädt, um ein Python-Skript namens BPyCode auszuführen.
Weitere schädliche Tools, die im Rahmen des Angriffs eingesetzt wurden
BPyCode dient als Downloader für eine Dynamic-Link-Bibliothek ('executor.dll') und führt diese im Speicher aus. Die DLL wird aus einem der Domänennamen bezogen, die über einen Domänengenerierungsalgorithmus (DGA) generiert wurden.
Die generierten Hostnamen scheinen mit denen übereinzustimmen, die mit dem Microsoft Azure Functions-Dienst verknüpft sind, einer serverlosen Infrastruktur, die es Betreibern in diesem Zusammenhang ermöglicht, ihre Staging-Infrastruktur bequem bereitzustellen und zu rotieren. Im Einzelnen ruft BPyCode eine Pickle-Datei ab, die drei Elemente enthält: ein sekundäres Python-Loader-Skript, ein ZIP-Archiv mit dem PythonMemoryModule-Paket und ein weiteres ZIP-Archiv mit „executor.dll“.
Anschließend wird das neue Python-Loader-Skript aktiviert, um „executor.dll“, eine Borland Delphi-basierte Malware, auch bekannt als ExecutorLoader, mithilfe von PythonMemoryModule in den Speicher zu laden. Die Hauptfunktion von ExecutorLoader besteht darin, AllaSenha zu dekodieren und auszuführen, indem es in einen legitimen mshta.exe-Prozess eingefügt wird.
Der AllaSenha RAT erbeutet die Bankdaten seiner Opfer
AllaSenha kann nicht nur in Webbrowsern gespeicherte Online-Banking-Anmeldeinformationen abgreifen, sondern auch Overlay-Fenster anzeigen, die die Erfassung von Codes zur Zwei-Faktor-Authentifizierung (2FA) ermöglichen und Opfer sogar dazu zwingen, einen QR-Code zu scannen, um eine von den Angreifern initiierte betrügerische Transaktion zu autorisieren.
AllaSenha läuft unter dem ursprünglichen Dateinamen Access_PC_Client_dll.dll, eine Bezeichnung, die vor allem mit dem KL Gorki-Projekt in Verbindung gebracht wird. Diese Banking-Malware scheint Elemente sowohl von AllaKore als auch einer Bedrohung namens ServerSocket zu vereinen.
Eine genauere Untersuchung des Quellcodes, der mit der ursprünglichen LNK-Datei und AllaSenha verknüpft ist, legt nahe, dass eine portugiesischsprachige Person namens bert1m an der Entwicklung der Malware beteiligt war. Derzeit gibt es jedoch keine Beweise dafür, dass sie die Tools direkt betrieben hat.
Forscher betonen, dass Cyberkriminelle in Lateinamerika eine bemerkenswerte Produktivität bei der Durchführung von Cybercrime-Kampagnen an den Tag legen. Während ihr Hauptaugenmerk darauf liegt, lateinamerikanische Privatpersonen anzugreifen, um Bankdaten zu stehlen, kompromittieren diese Akteure häufig Computer von Tochtergesellschaften oder Mitarbeitern weltweit, insbesondere in Brasilien.
