البرامج الضارة للأجهزة المحمولة AllaSenha
تواجه البنوك البرازيلية هجمة جديدة حيث تقدم حملة جديدة حصان طروادة للوصول عن بعد (RAT) يطلق عليه اسم AllaSenha. تم تصميم هذه البرامج الضارة لسرقة بيانات الاعتماد الضرورية للوصول إلى الحساب المصرفي البرازيلي، وذلك باستخدام Azure cloud كبنية تحتية للقيادة والتحكم (C2). أكد المحللون الذين قاموا بفحص هذا التهديد تشابهه مع التكرار المخصص للبرامج الضارة المحمولة AllaKore المستندة إلى Windows.
المؤسسات المصرفية البارزة المستهدفة في هذا الهجوم المكشوف تشمل بانكو دو برازيل، براديسكو، بانكو سافرا، كايكسا إيكونوميكا فيدرال، إيتاو يونيبانكو، سيكوب وسيكريدي. في حين أن طريقة الوصول الأولية الدقيقة لا تزال غير مؤكدة، تشير المؤشرات إلى استخدام روابط تهديد ضمن اتصالات التصيد الاحتيالي.
جدول المحتويات
المرحلة الأولية لسلسلة الهجوم التي تقدم AllaSenha RAT
يبدأ الهجوم بملف اختصار Windows (LNK) مخادع يظهر كمستند PDF ('NotaFiscal.pdf.lnk')، مستضاف على خادم WebDAV منذ مارس 2024 على الأقل. علاوة على ذلك، هناك دلائل تشير إلى أن جهات التهديد التي تقف وراء هذه العملية سبق أن استغلوا خدمات شرعية مثل Autodesk A360 Drive وGitHub لاستضافة حمولاتهم.
عند التنفيذ، يقوم ملف LNK بتشغيل واجهة أوامر Windows، التي تعرض ملف PDF مزيفًا للمستلم بينما تقوم أيضًا بجلب حمولة BAT تسمى "c.cmd" من نفس موقع خادم WebDAV.
يُعرف هذا الملف باسم مشغل BPyCode، ويبدأ أمر PowerShell المشفر باستخدام Base64، والذي يقوم بدوره بتنزيل Python الثنائي من موقع www.python.org الرسمي لتنفيذ برنامج Python النصي المسمى BPyCode.
أدوات ضارة إضافية تم نشرها كجزء من الهجوم
يعمل BPyCode بمثابة أداة تنزيل لمكتبة الارتباط الديناميكي ('executor.dll') ويقوم بتنفيذها في الذاكرة. يتم الحصول على DLL من أحد أسماء النطاقات التي تم إنشاؤها عبر خوارزمية إنشاء المجال (DGA).
يبدو أن أسماء المضيفين التي تم إنشاؤها تتوافق مع تلك المرتبطة بخدمة Microsoft Azure Functions، وهي بنية تحتية بدون خادم تمكن المشغلين، في هذا السياق، من نشر وتدوير البنية التحتية المرحلية الخاصة بهم بشكل ملائم. بالتفصيل، يسترد BPyCode ملفًا مخللًا يحتوي على ثلاثة عناصر: برنامج نصي ثانوي لمحمل Python، وأرشيف ZIP يحتوي على حزمة PythonMemoryModule وأرشيف ZIP آخر يحتوي على "executor.dll".
بعد ذلك، يتم تنشيط البرنامج النصي الجديد لمحمل Python لتحميل "executor.dll"، وهو برنامج ضار يستند إلى Borland Delphi، والمعروف أيضًا باسم ExecutorLoader، في الذاكرة باستخدام PythonMemoryModule. تتضمن الوظيفة الأساسية لـ ExecutorLoader فك تشفير AllaSenha وتنفيذه عن طريق إدخاله في عملية mshta.exe شرعية.
يقوم AllaSenha RAT بحصد أوراق الاعتماد المصرفية للضحايا
بصرف النظر عن جمع بيانات اعتماد الخدمات المصرفية عبر الإنترنت المخزنة في متصفحات الويب، يمتلك AllaSenha القدرة على تقديم نوافذ متراكبة، مما يتيح التقاط رموز المصادقة الثنائية (2FA) وحتى إجبار الضحايا على مسح رمز الاستجابة السريعة للسماح بمعاملة احتيالية بدأها المهاجمون .
يعمل AllaSenha تحت اسم الملف الأصلي Access_PC_Client_dll.dll، وهو تسمية مرتبطة بشكل خاص بمشروع KL Gorki. يبدو أن هذه البرامج الضارة المصرفية تدمج عناصر من كل من AllaKore والتهديد المعروف باسم ServerSocket.
يشير التدقيق العميق للكود المصدري المرتبط بملف LNK الأولي وAllaSenha إلى تورط شخص يتحدث البرتغالية يُدعى bert1m في تطوير البرنامج الضار. ومع ذلك، لا يوجد حاليًا أي دليل يشير إلى تشغيلها المباشر للأدوات.
يسلط الباحثون الضوء على أن مجرمي الإنترنت العاملين في أمريكا اللاتينية يظهرون إنتاجية ملحوظة في إطلاق حملات الجرائم الإلكترونية. وفي حين ينصب تركيزها الأساسي على استهداف الأفراد في أمريكا اللاتينية لسرقة المعلومات المصرفية، فإن هذه الجهات الفاعلة كثيراً ما تخترق أجهزة الكمبيوتر التي تديرها الشركات التابعة أو الموظفون في جميع أنحاء العالم، وخاصة في البرازيل.
