AllaSenha Mobile Malware
Brazilské banky čelí novému náporu, protože nová kampaň představuje Trojan pro vzdálený přístup (RAT) přezdívaný AllaSenha. Tento malware je uzpůsoben tak, aby ukradl přihlašovací údaje klíčové pro přístup k brazilskému bankovnímu účtu a využívá cloud Azure jako svou infrastrukturu Command-and-Control (C2). Analytici zkoumající tuto hrozbu potvrdili její podobnost s přizpůsobenou iterací mobilního malwaru AllaKore založeného na Windows.
Mezi významné bankovní instituce, na které se tato odhalená ofenzíva zaměřuje, patří Banco do Brasil, Bradesco, Banco Safra, Caixa Economica Federal, Itaú Unibanco, Sicoob a Sicredi. Zatímco přesná metoda počátečního přístupu zůstává nepotvrzená, náznaky naznačují použití ohrožujících odkazů v rámci phishingové komunikace.
Obsah
Počáteční fáze řetězce útoku přinášejícího AllaSenha RAT
Útok začíná klamným souborem zkratky Windows (LNK), který se vydává za dokument PDF ('NotaFiscal.pdf.lnk'), který je hostován na serveru WebDAV minimálně od března 2024. Navíc existují náznaky, že za touto operací stojí aktéři hrozby již dříve využívali legitimní služby, jako je Autodesk A360 Drive a GitHub, k hostování svých dat.
Po spuštění soubor LNK spustí příkazový shell systému Windows, který příjemci zobrazí falešný soubor PDF a zároveň načte datovou část BAT s názvem „c.cmd“ ze stejného umístění serveru WebDAV.
Tento soubor, známý jako spouštěč BPyCode, spouští příkaz PowerShell zakódovaný v Base64, který zase stáhne binární soubor Pythonu z oficiálního webu www.python.org a spustí skript Python s názvem BPyCode.
Další škodlivé nástroje nasazené jako součást útoku
BPyCode slouží jako downloader pro dynamicky linkovanou knihovnu ('executor.dll') a spouští ji v paměti. DLL se získává z jednoho z názvů domén generovaných pomocí algoritmu generování domény (DGA).
Zdá se, že vygenerované názvy hostitelů odpovídají názvům propojeným se službou Microsoft Azure Functions, což je infrastruktura bez serveru, která v tomto kontextu umožňuje operátorům pohodlně nasazovat a střídat jejich pracovní infrastrukturu. Podrobně, BPyCode načte pickle soubor obsahující tři položky: sekundární skript pro zavádění Pythonu, archiv ZIP obsahující balíček PythonMemoryModule a další archiv ZIP obsahující 'executor.dll'.
Následně se aktivuje nový skript zavaděče Pythonu, aby pomocí PythonMemoryModule nahrál do paměti 'executor.dll', malware založený na Borland Delphi, také známý jako ExecutorLoader. Primární funkce ExecutorLoaderu zahrnuje dekódování a spuštění AllaSenha vložením do legitimního procesu mshta.exe.
AllaSenha RAT sbírá bankovní doklady obětí
Kromě shromažďování přihlašovacích údajů online bankovnictví uložených ve webových prohlížečích má AllaSenha schopnost prezentovat překryvná okna, což umožňuje zachytit kódy dvoufaktorové autentizace (2FA) a dokonce přimět oběti, aby naskenovaly QR kód za účelem autorizace podvodné transakce iniciované útočníky. .
AllaSenha funguje pod původním názvem souboru Access_PC_Client_dll.dll, což je označení spojené zejména s projektem KL Gorki. Zdá se, že tento bankovní malware spojuje prvky jak z AllaKore , tak z hrozby známé jako ServerSocket.
Hlubší prozkoumání zdrojového kódu spojeného s původním souborem LNK a AllaSenha naznačuje zapojení portugalsky mluvící osoby jménem bert1m do vývoje malwaru. V současné době však neexistují žádné důkazy, které by naznačovaly jejich přímé fungování nástrojů.
Výzkumníci zdůrazňují, že kyberzločinci působící v Latinské Americe vykazují pozoruhodnou produktivitu při zahajování kampaní proti kyberzločinu. Zatímco jejich primární zaměření spočívá v zacílení na jednotlivce z Latinské Ameriky, aby ukradli bankovní informace, tito aktéři často kompromitují počítače provozované dceřinými společnostmi nebo zaměstnanci po celém světě, zejména v Brazílii.
