AllaSenha Mobile Malware

Οι τράπεζες της Βραζιλίας αντιμετωπίζουν μια νέα επίθεση καθώς μια νέα καμπάνια εισάγει έναν Trojan Remote Access (RAT) που ονομάζεται AllaSenha. Αυτό το κακόβουλο λογισμικό έχει σχεδιαστεί για να κλέβει τα διαπιστευτήρια που είναι ζωτικής σημασίας για την πρόσβαση σε τραπεζικό λογαριασμό της Βραζιλίας, χρησιμοποιώντας το Azure cloud ως την υποδομή Command-and-Control (C2). Οι αναλυτές που εξετάζουν προσεκτικά αυτήν την απειλή επιβεβαίωσαν την ομοιότητά της με μια προσαρμοσμένη επανάληψη του κακόβουλου λογισμικού για κινητά AllaKore που βασίζεται στα Windows.

Αξιοσημείωτα τραπεζικά ιδρύματα που στοχοποιούνται σε αυτήν την αποκαλυπτική επίθεση περιλαμβάνουν τις Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob και Sicredi. Ενώ η ακριβής μέθοδος αρχικής πρόσβασης παραμένει ανεπιβεβαίωτη, οι ενδείξεις υποδηλώνουν τη χρήση απειλητικών συνδέσμων στις επικοινωνίες phishing.

Το αρχικό στάδιο της αλυσίδας επίθεσης που παρέχει AllaSenha RAT

Η επίθεση ξεκινά με ένα παραπλανητικό αρχείο συντόμευσης των Windows (LNK) που παρουσιάζεται ως έγγραφο PDF ('NotaFiscal.pdf.lnk'), που φιλοξενείται σε διακομιστή WebDAV τουλάχιστον από τον Μάρτιο του 2024. Επιπλέον, υπάρχουν ενδείξεις ότι οι παράγοντες απειλής πίσω από αυτήν την επιχείρηση έχουν εκμεταλλευτεί στο παρελθόν νόμιμες υπηρεσίες όπως το Autodesk A360 Drive και το GitHub για να φιλοξενήσουν τα ωφέλιμα φορτία τους.

Κατά την εκτέλεση, το αρχείο LNK ενεργοποιεί ένα κέλυφος εντολών των Windows, το οποίο εμφανίζει ένα ψεύτικο αρχείο PDF στον παραλήπτη ενώ λαμβάνει επίσης ένα ωφέλιμο φορτίο BAT με το όνομα «c.cmd» από την ίδια θέση διακομιστή WebDAV.

Γνωστό ως πρόγραμμα εκκίνησης BPyCode, αυτό το αρχείο εκκινεί μια εντολή PowerShell με κωδικοποίηση Base64, η οποία με τη σειρά της κατεβάζει το δυαδικό αρχείο Python από τον επίσημο ιστότοπο www.python.org για να εκτελέσει ένα σενάριο Python με το όνομα BPyCode.

Πρόσθετα επιβλαβή εργαλεία που αναπτύσσονται ως μέρος της επίθεσης

Το BPyCode χρησιμεύει ως πρόγραμμα λήψης για μια βιβλιοθήκη δυναμικής σύνδεσης ('executor.dll') και την εκτελεί στη μνήμη. Το DLL λαμβάνεται από ένα από τα ονόματα τομέα που δημιουργούνται μέσω ενός αλγόριθμου δημιουργίας τομέα (DGA).

Τα ονόματα κεντρικών υπολογιστών που δημιουργούνται φαίνεται να ευθυγραμμίζονται με αυτά που συνδέονται με την υπηρεσία Microsoft Azure Functions, μια υποδομή χωρίς διακομιστή που, σε αυτό το πλαίσιο, επιτρέπει στους χειριστές να αναπτύσσουν και να περιστρέφουν εύκολα την υποδομή σταδιακής λειτουργίας τους. Αναλυτικά, το BPyCode ανακτά ένα αρχείο pickle που περιέχει τρία στοιχεία: ένα δευτερεύον σενάριο φόρτωσης Python, ένα αρχείο ZIP που περιέχει το πακέτο PythonMemoryModule και ένα άλλο αρχείο ZIP που περιέχει το "executor.dll".

Στη συνέχεια, το νέο σενάριο φόρτωσης Python ενεργοποιείται για να φορτώσει το 'executor.dll', ένα κακόβουλο λογισμικό που βασίζεται σε Borland Delphi, γνωστό και ως ExecutorLoader, στη μνήμη χρησιμοποιώντας το PythonMemoryModule. Η κύρια λειτουργία του ExecutorLoader περιλαμβάνει την αποκωδικοποίηση και την εκτέλεση του AllaSenha με έγχυσή του σε μια νόμιμη διεργασία mshta.exe.

Το AllaSenha RAT συγκομίζει τα τραπεζικά διαπιστευτήρια των θυμάτων

Εκτός από τη συλλογή διαπιστευτηρίων ηλεκτρονικής τραπεζικής που είναι αποθηκευμένα σε προγράμματα περιήγησης Ιστού, το AllaSenha διαθέτει τη δυνατότητα να παρουσιάζει παράθυρα επικάλυψης, επιτρέποντας τη λήψη κωδικών ελέγχου ταυτότητας δύο παραγόντων (2FA) και ακόμη και εξαναγκάζοντας τα θύματα να σαρώσουν έναν κωδικό QR για να εξουσιοδοτήσουν μια δόλια συναλλαγή που ξεκίνησε από τους εισβολείς .

Το AllaSenha λειτουργεί με το αρχικό όνομα αρχείου Access_PC_Client_dll.dll, μια ονομασία που σχετίζεται κυρίως με το έργο KL Gorki. Αυτό το τραπεζικό κακόβουλο λογισμικό φαίνεται να συγχωνεύει στοιχεία τόσο από το AllaKore όσο και από μια απειλή γνωστή ως ServerSocket.

Ο βαθύτερος έλεγχος του πηγαίου κώδικα που συνδέεται με το αρχικό αρχείο LNK και το AllaSenha υποδηλώνει τη συμμετοχή ενός ατόμου που μιλάει Πορτογαλικά με το όνομα bert1m στην ανάπτυξη του κακόβουλου λογισμικού. Ωστόσο, προς το παρόν δεν υπάρχουν στοιχεία που να υποδεικνύουν την άμεση λειτουργία των εργαλείων.

Οι ερευνητές υπογραμμίζουν ότι οι κυβερνοεγκληματίες που δραστηριοποιούνται στη Λατινική Αμερική επιδεικνύουν αξιοσημείωτη παραγωγικότητα στην έναρξη εκστρατειών για το έγκλημα στον κυβερνοχώρο. Ενώ η κύρια εστίασή τους έγκειται στη στόχευση ατόμων της Λατινικής Αμερικής για την κλοπή τραπεζικών πληροφοριών, αυτοί οι παράγοντες συχνά παραβιάζουν υπολογιστές που λειτουργούν από θυγατρικές ή υπαλλήλους σε όλο τον κόσμο, ιδιαίτερα στη Βραζιλία.