AllaSenha Mobile Malware

ব্রাজিলিয়ান ব্যাঙ্কগুলি একটি নতুন আক্রমণের মুখোমুখি হচ্ছে কারণ একটি নতুন প্রচারাভিযান একটি রিমোট অ্যাক্সেস ট্রোজান (RAT) নামক আল্লাসেনহা প্রবর্তন করেছে৷ এই ম্যালওয়্যারটি ব্রাজিলিয়ান ব্যাঙ্ক অ্যাকাউন্ট অ্যাক্সেসের জন্য গুরুত্বপূর্ণ শংসাপত্রগুলি চুরি করার জন্য তৈরি করা হয়েছে, Azure ক্লাউডকে এর কমান্ড-এন্ড-কন্ট্রোল (C2) অবকাঠামো হিসাবে ব্যবহার করে৷ এই বিপদের তদন্তকারী বিশ্লেষকরা উইন্ডোজ-ভিত্তিক আল্লাকোর মোবাইল ম্যালওয়্যারের কাস্টমাইজড পুনরাবৃত্তির সাথে এর সাদৃশ্যকে নিশ্চিত করেছেন।

এতে লক্ষ্য করা উল্লেখযোগ্য ব্যাঙ্কিং প্রতিষ্ঠানগুলি ব্যাঙ্কো ডো ব্রাসিল, ব্রাডেস্কো, ব্যাঙ্কো সাফরা, কাইক্সা ইকোনমিকা ফেডারেল, ইটাউ ইউনিব্যাঙ্কো, সিকোব এবং সিক্রেডিকে আক্রমন করে। যদিও সুনির্দিষ্ট প্রাথমিক অ্যাক্সেস পদ্ধতিটি অনিশ্চিত রয়ে গেছে, ইঙ্গিতগুলি ফিশিং যোগাযোগের মধ্যে হুমকিমূলক লিঙ্কগুলির ব্যবহারের পরামর্শ দেয়।

অ্যাটাক চেইন ডেলিভারিং আল্লাসেনহা RAT এর প্রাথমিক পর্যায়

অন্তত মার্চ 2024 সাল থেকে ওয়েবডিএভি সার্ভারে হোস্ট করা একটি পিডিএফ ডকুমেন্ট ('NotaFiscal.pdf.lnk') হিসাবে একটি প্রতারণামূলক উইন্ডোজ শর্টকাট (LNK) ফাইল দিয়ে আক্রমণ শুরু হয়। তাছাড়া, এই অপারেশনের পিছনে হুমকি অভিনেতাদের ইঙ্গিত রয়েছে আগে তাদের পেলোড হোস্ট করার জন্য Autodesk A360 Drive এবং GitHub-এর মতো বৈধ পরিষেবাগুলিকে কাজে লাগিয়েছে৷

কার্যকর করার পরে, LNK ফাইলটি একটি উইন্ডোজ কমান্ড শেল ট্রিগার করে, যা প্রাপকের কাছে একটি নকল PDF ফাইল প্রদর্শন করে এবং একই WebDAV সার্ভার অবস্থান থেকে 'c.cmd' নামে একটি BAT পেলোড আনয়ন করে।

BPyCode লঞ্চার হিসাবে পরিচিত, এই ফাইলটি একটি Base64-এনকোডেড PowerShell কমান্ড শুরু করে, যা ফলস্বরূপ BPyCode নামে একটি পাইথন স্ক্রিপ্ট চালানোর জন্য অফিসিয়াল www.python.org সাইট থেকে পাইথন বাইনারি ডাউনলোড করে।

আক্রমণের অংশ হিসাবে অতিরিক্ত ক্ষতিকারক সরঞ্জাম মোতায়েন করা হয়েছে

BPyCode একটি ডাইনামিক-লিঙ্ক লাইব্রেরির ('executor.dll') ডাউনলোডার হিসেবে কাজ করে এবং এটি মেমরিতে কার্যকর করে। DLL একটি ডোমেন জেনারেশন অ্যালগরিদম (DGA) এর মাধ্যমে উত্পন্ন ডোমেন নামগুলির একটি থেকে প্রাপ্ত হয়।

উত্পন্ন হোস্টনামগুলি মাইক্রোসফ্ট Azure ফাংশন পরিষেবার সাথে লিঙ্কযুক্তগুলির সাথে সারিবদ্ধ বলে মনে হচ্ছে, একটি সার্ভারহীন পরিকাঠামো যা এই প্রসঙ্গে, অপারেটরদের তাদের স্টেজিং অবকাঠামো সুবিধামত স্থাপন এবং ঘোরাতে সক্ষম করে। বিস্তারিতভাবে, BPyCode তিনটি আইটেম সম্বলিত একটি পিকেল ফাইল উদ্ধার করে: একটি সেকেন্ডারি পাইথন লোডার স্ক্রিপ্ট, PythonMemoryModule প্যাকেজ ধারণকারী একটি ZIP সংরক্ষণাগার এবং 'executor.dll' সম্বলিত আরেকটি জিপ সংরক্ষণাগার।

পরবর্তীকালে, নতুন পাইথন লোডার স্ক্রিপ্ট PythonMemoryModule ব্যবহার করে মেমরিতে 'executor.dll' বোরল্যান্ড ডেলফি-ভিত্তিক ম্যালওয়্যার, যা ExecutorLoader নামেও পরিচিত, লোড করার জন্য সক্রিয় করা হয়। ExecutorLoader-এর প্রাথমিক ফাংশনে আল্লাসেনহাকে একটি বৈধ mshta.exe প্রক্রিয়ায় ইনজেকশনের মাধ্যমে ডিকোডিং এবং কার্যকর করা জড়িত।

আল্লাসেনহা RAT ভিকটিমদের ব্যাঙ্কিং শংসাপত্র সংগ্রহ করে

ওয়েব ব্রাউজারে সংরক্ষিত অনলাইন ব্যাঙ্কিং শংসাপত্র সংগ্রহ করার পাশাপাশি, আল্লাসেনহা ওভারলে উইন্ডোগুলি উপস্থাপন করার ক্ষমতা রাখে, টু-ফ্যাক্টর অথেনটিকেশন (2FA) কোডগুলি ক্যাপচার করতে সক্ষম করে এবং এমনকি আক্রমণকারীদের দ্বারা শুরু করা একটি প্রতারণামূলক লেনদেন অনুমোদন করার জন্য একটি QR কোড স্ক্যান করার জন্য ভিকটিমদের বাধ্য করে। .

আল্লাসেনহা মূল ফাইল নামের Access_PC_Client_dll.dll এর অধীনে কাজ করে, একটি উপাধি যা উল্লেখযোগ্যভাবে কেএল গোর্কি প্রকল্পের সাথে যুক্ত। এই ব্যাঙ্কিং ম্যালওয়্যারটি AllaKore এবং সার্ভারসকেট নামে পরিচিত একটি হুমকি উভয়ের উপাদানগুলিকে একত্রিত করে বলে মনে হচ্ছে৷

প্রাথমিক LNK ফাইলের সাথে লিঙ্কযুক্ত সোর্স কোডের গভীরতর যাচাই-বাছাই এবং আল্লাসেনহা ম্যালওয়্যারের বিকাশে bert1m নামে একজন পর্তুগিজ-ভাষী ব্যক্তির জড়িত থাকার পরামর্শ দেয়। যাইহোক, বর্তমানে তাদের সরঞ্জামগুলির সরাসরি অপারেশন নির্দেশ করে এমন কোন প্রমাণ নেই।

গবেষকরা হাইলাইট করেছেন যে লাতিন আমেরিকায় পরিচালিত সাইবার অপরাধীরা সাইবার অপরাধ প্রচারাভিযান শুরু করার ক্ষেত্রে উল্লেখযোগ্য উত্পাদনশীলতা প্রদর্শন করে। যদিও তাদের প্রাথমিক ফোকাস ল্যাটিন আমেরিকান ব্যক্তিদের ব্যাংকিং তথ্য চুরি করার লক্ষ্যে নিহিত, এই অভিনেতারা প্রায়ই বিশ্বব্যাপী, বিশেষ করে ব্রাজিলে সহায়ক সংস্থা বা কর্মচারীদের দ্বারা পরিচালিত কম্পিউটারগুলির সাথে আপস করে।