ブラジル銀行、巧妙なマルウェア「AllaSenha」に狙われる:セキュリティ警鐘

ブラジル銀行、巧妙なマルウェア「AllaSenha」に狙われる:セキュリティ警鐘 - innovaTopia - (イノベトピア)

Last Updated on 2024-09-18 05:53 by admin

ブラジルの銀行機関が、WindowsベースのAllaKoreリモートアクセストロイの木馬(RAT)のカスタムバリアントであるAllaSenhaを配布する新しいキャンペーンの標的となっている。このマルウェアは、ブラジルの銀行口座へのアクセスに必要な認証情報を盗むことを目的としており、Azureクラウドをコマンドアンドコントロール(C2)インフラストラクチャとして利用している。フィッシングメッセージ内の悪意のあるリンクを使用することが初期アクセスベクトルとして示唆されているが、確定的ではない。攻撃の開始点は、少なくとも2024年3月以降にWebDAVサーバー上でホストされているPDFドキュメント(”NotaFiscal.pdf.lnk”)に偽装した悪意のあるWindowsショートカット(LNK)ファイルである。このLNKファイルを実行すると、受信者にダミーのPDFファイルを開かせつつ、同じWebDAVサーバーの場所からBATペイロード「c.cmd」を取得するWindowsコマンドシェルが設計されている。このファイルはBPyCodeランチャーと呼ばれ、Base64エンコードされたPowerShellコマンドを起動し、公式のwww.python[.]orgウェブサイトからPythonバイナリをダウンロードしてPythonスクリプト(コードネームBPyCode)を実行する。BPyCodeは、メモリ内で実行される動的リンクライブラリ(”executor.dll”)をダウンロードするダウンローダーとして機能する。このDLLは、ドメイン生成アルゴリズム(DGA)を介して生成されたドメイン名のいずれかから取得される。具体的には、BPyCodeはピクルファイルを取得し、2つのPythonローダースクリプト、PythonMemoryModuleパッケージを含むZIPアーカイブ、および”executor.dll”を含む別のZIPアーカイブの3つのファイルを含む。新しいPythonローダースクリプトはその後起動され、PythonMemoryModuleを使用してメモリ内でexecutor.dll(ExecutorLoaderとも呼ばれるBorland Delphiベースのマルウェア)をロードする。ExecutorLoaderの主な任務は、合法的なmshta.exeプロセスにAllaSenhaを注入して実行することにより、オンラインバンキングアカウントの認証情報を盗むことである。AllaSenhaは、Webブラウザからオンラインバンキングアカウントの認証情報を盗むだけでなく、2要素認証(2FA)コードをキャプチャするためのオーバーレイウィンドウを表示する機能を備えており、攻撃者が開始した詐欺的な取引を承認するために被害者にQRコードをスキャンさせることさえできる。AllaSenhaのサンプルはすべて、元のファイル名として「Access_PC_Client_dll.dll」を使用している。この名前は、AllaKoreとServerSocketの両方のコンポーネントを組み合わせたと思われるKL Gorkiプロジェクトで特に見つかる。初期のLNKファイルとAllaSenhaサンプルに関連するソースコードのさらなる分析から、bert1mという名前のポルトガル語を話すユーザーがマルウェアの開発に関連している可能性が示唆されているが、現段階では彼らがツールを操作している証拠はない。

【ニュース解説】

ブラジルの銀行機関が、新たなサイバー攻撃の標的になっています。この攻撃は、AllaKoreというWindowsベースのリモートアクセストロイの木馬(RAT)のカスタムバリアントであるAllaSenhaを使用しています。このマルウェアは、ブラジルの銀行口座へのアクセスに必要な認証情報を盗むことを目的としており、Azureクラウドをコマンドアンドコントロール(C2)インフラストラクチャとして利用しています。

攻撃の手口としては、フィッシングメッセージ内に含まれる悪意のあるリンクを通じて、被害者を騙してマルウェアをダウンロードさせる方法が示唆されています。攻撃の開始点は、PDFドキュメントに偽装した悪意のあるWindowsショートカット(LNK)ファイルで、このファイルを実行すると、ダミーのPDFファイルを開きつつ、裏でマルウェアのペイロードをダウンロードします。

このマルウェアは、オンラインバンキングアカウントの認証情報を盗むだけでなく、2要素認証(2FA)コードをキャプチャするためのオーバーレイウィンドウを表示する機能や、詐欺的な取引を承認するために被害者にQRコードをスキャンさせる機能も備えています。

この攻撃キャンペーンは、ブラジルだけでなく、ブラジルに拠点を置く企業や従業員を通じて世界中の企業に影響を及ぼす可能性があります。サイバー犯罪者がこのような高度な技術を使用していることは、企業や個人が自身のセキュリティ対策を強化する必要があることを示しています。

このような攻撃から身を守るためには、フィッシングメールに注意し、不審なリンクや添付ファイルを開かないようにすることが重要です。また、2要素認証を利用することで、アカウントのセキュリティを強化することができます。しかし、この攻撃では2FAコードさえも狙われているため、セキュリティ意識の高い行動とともに、定期的なパスワードの変更やセキュリティソフトウェアの更新など、より包括的なセキュリティ対策が求められます。

最後に、この攻撃は、サイバーセキュリティの観点から見ても、技術的な進化と犯罪者の手法の洗練化を示しています。企業や個人が常に警戒し、最新のセキュリティ対策を講じることの重要性を改めて認識する機会となります。

from Brazilian Banks Targeted by New AllaKore RAT Variant Called AllaSenha.

SNSに投稿する

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ブラジル銀行、巧妙なマルウェア「AllaSenha」に狙われる:セキュリティ警鐘