AllaSenha Mobile Malware
Бразилските банки са изправени пред нов натиск, тъй като нова кампания въвежда троянски кон за отдалечен достъп (RAT), наречен AllaSenha. Този злонамерен софтуер е пригоден да краде идентификационните данни, които са от решаващо значение за достъпа до бразилската банкова сметка, като използва облака Azure като своя инфраструктура за командване и контрол (C2). Анализаторите, които проучват тази заплаха, потвърдиха нейната прилика с персонализирана итерация на базирания на Windows мобилен зловреден софтуер AllaKore.
Известни банкови институции, насочени към тази разкрита офанзива, включват Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob и Sicredi. Въпреки че точният първоначален метод за достъп остава непотвърден, индикациите предполагат използването на заплашителни връзки във фишинг комуникациите.
Съдържание
Първоначалният етап от веригата от атаки, доставящи AllaSenha RAT
Атаката започва с измамен файл с пряк път на Windows (LNK), представящ се като PDF документ („NotaFiscal.pdf.lnk“), хостван на WebDAV сървър поне от март 2024 г. Освен това има индикации, че заплахата стои зад тази операция преди това са използвали законни услуги като Autodesk A360 Drive и GitHub, за да хостват своите полезни натоварвания.
При изпълнение LNK файлът задейства командна обвивка на Windows, която показва фалшив PDF файл на получателя, като същевременно извлича BAT полезен товар с име „c.cmd“ от същото местоположение на WebDAV сървъра.
Известен като инструмент за стартиране на BPyCode, този файл инициира кодирана с Base64 PowerShell команда, която от своя страна изтегля двоичния файл на Python от официалния сайт www.python.org, за да изпълни скрипт на Python, наречен BPyCode.
Допълнителни вредни инструменти, внедрени като част от атаката
BPyCode служи като програма за изтегляне на библиотека с динамични връзки („executor.dll“) и я изпълнява в паметта. DLL се получава от едно от имената на домейни, генерирани чрез алгоритъм за генериране на домейни (DGA).
Изглежда, че генерираните имена на хостове са в съответствие с тези, свързани с услугата Microsoft Azure Functions, инфраструктура без сървър, която в този контекст позволява на операторите удобно да внедряват и въртят своята етапна инфраструктура. По-подробно, BPyCode извлича pickle файл, съдържащ три елемента: вторичен скрипт за зареждане на Python, ZIP архив, съдържащ пакета PythonMemoryModule и друг ZIP архив, съдържащ „executor.dll“.
Впоследствие новият скрипт за зареждане на Python се активира, за да зареди „executor.dll“, базиран на Borland Delphi зловреден софтуер, известен също като ExecutorLoader, в паметта с помощта на PythonMemoryModule. Основната функция на ExecutorLoader включва декодиране и изпълнение на AllaSenha чрез инжектирането му в легитимен процес mshta.exe.
AllaSenha RAT прибира банкови идентификационни данни на жертви
Освен събирането на идентификационни данни за онлайн банкиране, съхранявани в уеб браузъри, AllaSenha притежава способността да представя прозорци с наслагване, позволявайки улавянето на кодове за двуфакторно удостоверяване (2FA) и дори принуждавайки жертвите да сканират QR код, за да разрешат измамна транзакция, инициирана от нападателите .
AllaSenha работи под оригиналното име на файла Access_PC_Client_dll.dll, наименование, свързано предимно с проекта KL Gorki. Този банков злонамерен софтуер изглежда обединява елементи от AllaKore и заплаха, известна като ServerSocket.
По-задълбоченото изследване на изходния код, свързан с първоначалния LNK файл и AllaSenha, предполага участието на португалоговорящ индивид на име bert1m в разработването на зловреден софтуер. Понастоящем обаче няма доказателства, показващи прякото им действие на инструментите.
Изследователите подчертават, че киберпрестъпниците, работещи в Латинска Америка, демонстрират забележителна продуктивност при стартирането на кампании за киберпрестъпления. Въпреки че основният им фокус е да се насочат към лица от Латинска Америка за кражба на банкова информация, тези участници често компрометират компютри, управлявани от дъщерни дружества или служители по целия свят, особено в Бразилия.
