AllaSenha Mobile Malware

Brasilianske banker står over for et nyt angreb, da en ny kampagne introducerer en Remote Access Trojan (RAT) kaldet AllaSenha. Denne malware er skræddersyet til at stjæle de legitimationsoplysninger, der er afgørende for adgang til en brasiliansk bankkonto, ved at bruge Azure-skyen som sin Command-and-Control-infrastruktur (C2). Analytikere, der undersøger denne trussel, har bekræftet dens lighed med en tilpasset iteration af den Windows-baserede AllaKore mobile malware.

Bemærkelsesværdige bankinstitutioner, der er målrettet i denne afslørede offensiv, omfatter Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob og Sicredi. Mens den præcise indledende adgangsmetode forbliver ubekræftet, tyder indikationer på brugen af truende links inden for phishing-kommunikation.

Den indledende fase af angrebskæden, der leverer AllaSenha RAT

Angrebet starter med en vildledende Windows-genvejsfil (LNK), der optræder som et PDF-dokument ('NotaFiscal.pdf.lnk'), hostet på en WebDAV-server siden mindst marts 2024. Desuden er der indikationer på, at trusselsaktørerne bag denne operation har tidligere udnyttet legitime tjenester såsom Autodesk A360 Drive og GitHub til at hoste deres nyttelast.

Ved udførelse udløser LNK-filen en Windows-kommandoskall, som viser en falsk PDF-fil til modtageren, mens den også henter en BAT-nyttelast ved navn 'c.cmd' fra den samme WebDAV-serverplacering.

Denne fil, der er kendt som BPyCode-starteren, starter en Base64-kodet PowerShell-kommando, som igen downloader Python-binæren fra det officielle www.python.org-websted for at udføre et Python-script ved navn BPyCode.

Yderligere skadelige værktøjer indsat som en del af angrebet

BPyCode fungerer som downloader til et dynamisk linkbibliotek ('executor.dll') og udfører det i hukommelsen. DLL'en er hentet fra et af domænenavnene, der genereres via en domænegenereringsalgoritme (DGA).

De genererede værtsnavne ser ud til at stemme overens med dem, der er knyttet til Microsoft Azure Functions-tjenesten, en serverløs infrastruktur, der i denne sammenhæng gør det muligt for operatører bekvemt at implementere og rotere deres staging-infrastruktur. I detaljer henter BPyCode en pickle-fil, der indeholder tre elementer: et sekundært Python-loader-script, et ZIP-arkiv, der indeholder PythonMemoryModule-pakken og et andet ZIP-arkiv, der indeholder 'executor.dll.'

Efterfølgende aktiveres det nye Python-loader-script for at indlæse 'executor.dll', en Borland Delphi-baseret malware, også kendt som ExecutorLoader, i hukommelsen ved hjælp af PythonMemoryModule. ExecutorLoaders primære funktion involverer afkodning og eksekvering af AllaSenha ved at injicere den i en legitim mshta.exe-proces.

AllaSenha RAT høster ofrenes bankoplysninger

Bortset fra at indsamle netbankoplysninger, der er gemt i webbrowsere, besidder AllaSenha evnen til at præsentere overlejringsvinduer, hvilket gør det muligt at fange tofaktorautentificeringskoder (2FA) og endda tvinge ofre til at scanne en QR-kode for at godkende en svigagtig transaktion iværksat af angriberne .

AllaSenha opererer under det originale filnavn Access_PC_Client_dll.dll, en betegnelse, der især er forbundet med KL Gorki-projektet. Denne bank-malware ser ud til at samle elementer fra både AllaKore og en trussel kendt som ServerSocket.

Dybere undersøgelse af kildekoden, der er knyttet til den indledende LNK-fil, og AllaSenha foreslår involvering af en portugisisktalende person ved navn bert1m i malwarens udvikling. Der er dog i øjeblikket ingen beviser, der indikerer deres direkte drift af værktøjerne.

Forskere fremhæver, at cyberkriminelle, der opererer i Latinamerika, udviser bemærkelsesværdig produktivitet ved at lancere cyberkriminalitetskampagner. Mens deres primære fokus ligger i at målrette latinamerikanske individer for at stjæle bankoplysninger, kompromitterer disse aktører ofte computere, der drives af datterselskaber eller ansatte over hele verden, især i Brasilien.