Brazilske bankarske institucije su na meti nove kampanje koja distribuira prilagođenu varijantu AllaKore trojanca za daljinski pristup (RAT) zasnovanog na Windows pod nazivom AllaSenha.
Zlonamjerni softver je “posebno usmjeren na krađu kredencijala koje su potrebne za pristup brazilskim bankovnim računima, [i] koristi Azure cloud kao komandnu i kontrolnu (C2) infrastrukturu”, rekla je francuska kompanija za sajber sigurnost HarfangLab u tehničkoj analizi.
Ciljevi kampanje uključuju banke kao što su Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob i Sicredi. Inicijalni vektor pristupa, iako nije definitivno potvrđen, ukazuje na upotrebu zlonamjernih veza u phishing porukama.
Polazna tačka napada je zlonamerna datoteka prečice za Windows (LNK) koja se maskira kao PDF dokument (“NotaFiscal.pdf.lnk”) koji se nalazi na WebDAV serveru najmanje od marta 2024. Takođe postoje dokazi koji ukazuju na to da je hakeri koji stoje iza aktivnosti ranije su zloupotrebljavali legitimne usluge kao što su Autodesk A360 Drive i GitHub za hostovanje korisnih podataka.
LNK datoteka, kada se pokrene, izvršava Windows komandnu shell koja je dizajnirana da otvori PDF datoteku primaoca, dok istovremeno preuzima BAT korisni teret pod nazivom “c.cmd” sa iste lokacije WebDAV servera.
Nazvan BPyCode pokretač, datoteka pokreće Base64 kodiranu PowerShell komandu, koja zatim preuzima Python binarnu datoteku sa zvanične www.python[.]org web stranice kako bi izvršila Python skriptu kodnog imena BPyCode.
BPyCode, sa svoje strane, funkcioniše kao downloader za biblioteku dinamičkih veza (“executor.dll”) i pokreće je u memoriji. DLL se preuzima sa jednog od imena domena generisanih putem algoritma za generisanje domena (DGA).
“Izgleda da se sačuvana imena hostova poklapaju s onima koji su povezani s uslugom Microsoft Azure Functions , infrastrukturom bez servera koja bi u ovom slučaju omogućila operaterima da lako implementiraju i rotiraju svoju infrastrukturu za postavljanje,” kažu iz kompanije.
Konkretno, BPyCode preuzima datoteku pickle koja uključuje tri datoteke: drugu Python skriptu za učitavanje, ZIP arhivu koja sadrži paket PythonMemoryModule i drugu ZIP arhivu koja sadrži “executor.dll”.
Nova Python skripta za učitavanje se zatim pokreće kako bi učitala executor.dll, zlonamjerni softver baziran na Borland Delphi koji se takođe naziva ExecutorLoader, u memoriju koristeći PythonMemoryModule. ExecutorLoader prvenstveno ima zadatak da dekodira i izvršava AllaSenha ubacivanjem u legitimni proces mshta.exe.
Osim krađe akreditiva za bankovni račun na mreži iz web pretraživača, AllaSenha dolazi sa mogućnošću prikaza prozora koji se preklapaju kako bi uhvatili dvofaktorske kodove za autentifikaciju (2FA), pa čak i prevarili žrtvu da skenira QR kod kako bi odobrila lažnu transakciju koju je pokrenuo napadači.
Daljnja analiza izvornog koda povezanog s početnom LNK datotekom i uzorcima AllaSenha otkrila je da je korisnik koji govori portugalski po imenu bert1m vjerovatno povezan s razvojem zlonamjernog softvera, iako u ovoj fazi nema dokaza koji bi sugerisali da oni upravljaju alati takođe.
Čini se da su hakeri koji djeluju u Latinskoj Americi posebno produktivan izvor kampanja cyber kriminala, rekao je HarfangLab.
“Dok su gotovo isključivo ciljani pojedinci iz Latinske Amerike kako bi ukrali bankovne podatke, ovi akteri često na kraju kompromituju računare kojima zaista upravljaju podružnice ili zaposleni u Brazilu, ali koji pripadaju kompanijama širom svijeta.”
Razvoj dolazi kao Forcepoint detaljne malspam kampanje koje distribuiraju još jedan bankarski trojanac fokusiran na Latinsku Ameriku pod nazivom Casbaneiro (aka Metamorfo i Ponteiro) putem HTML attachments s ciljem da se izvuku finansijske informacije žrtava.
“Zlonamjerni softver distribuiran putem e-pošte poziva korisnika da klikne na attachments”, rekao je istraživač sigurnosti Prashant Kumar . “Attachments sadrži zlonamjerni kod koji obavlja niz aktivnosti i dovodi do kompromitacije podataka.”
Anatsa Android bankovni trojanac se ušuljao u Google Play prodavnicu
Nije samo Windows bio na udaru bankarskih trojanskih napada, jer je Zscaler ThreatLabz otkrio detalje kampanje zlonamjernog softvera za Android bankarstvo koja je koristila aplikacije za mamce postavljene u Google Play prodavnicu za isporuku Anatsa (aka TeaBot i Toddler).
Ove čiste aplikacije za izbacivanje prolaze kao naizgled bezopasne produktivne i korisne aplikacije kao što su čitači PDF-a, čitači QR kodova i prevodioci, i koriste identičan lanac infekcije koji je ThreatFabric otkrio ranije ovog februara za preuzimanje i implementaciju zlonamjernog softvera s udaljenog servera pod maskom ažuriranje aplikacije kako bi se izbjeglo otkrivanje.
Aplikacije, koje je Google u međuvremenu uklonio, navedene su u nastavk:
- com.appandutilitytools.fileqrutility (QR čitač i upravitelj datoteka)
- com.ultimatefilesviewer.filemanagerwithpdfsupport (PDF Reader & File Manager)
Prema statističkim podacima dostupnim na Sensor Toweru, PDF Reader & File Manager instaliran je između 500 i 1.000 puta, dok je aplikacija za čitanje QR kodova instalirana u rasponu od 50.000 do 100.000.
“Kada se instalira, Anatsa eksfiltrira osjetljive bankarske podatke i finansijske informacije iz globalnih finansijskih aplikacija”, rekli su istraživači Himanshu Sharma i Gajanan Khond . “To postiže korištenjem tehnika preklapanja i pristupačnosti, što mu omogućava da diskretno presreće i prikuplja podatke.”
Zscaler je rekao da je identificirao preko 90 zlonamjernih aplikacija na Play Store u posljednjih nekoliko mjeseci koje su zajedno imale više od 5,5 miliona instalacija i korištene za promovisanje različitih porodica zlonamjernog softvera kao što su Joker, Facestealer, Anatsa, Coper i drugi adware.
Izvor:The Hacker News
