AllaSenha mobiili pahavara
Brasiilia pangad seisavad silmitsi uue rünnakuga, kuna uus kampaania tutvustab kaugjuurdepääsu trooja (RAT) nimega AllaSenha. See pahavara on loodud Brasiilia pangakontole juurdepääsu jaoks ülioluliste mandaatide röövimiseks, kasutades käsu-ja juhtimise (C2) infrastruktuurina Azure'i pilve. Seda ohtu uurivad analüütikud on kinnitanud selle sarnasust Windowsi-põhise AllaKore mobiilse pahavara kohandatud iteratsiooniga.
Märkimisväärsed pangandusasutused, mille sihikule see paljastatud rünnak, on Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob ja Sicredi. Kuigi täpne esialgne juurdepääsumeetod jääb kinnitamata, viitavad märgid ähvardavate linkide kasutamisele andmepüügisuhtluses.
Sisukord
AllaSenha RATi kohaletoimetamise ründeahela esialgne etapp
Rünnak algab petliku Windowsi otsetee (LNK) failiga, mis kujutab endast PDF-dokumendina (NotaFiscal.pdf.lnk), mida on WebDAV-i serveris hostitud vähemalt 2024. aasta märtsist. Lisaks on märke, et selle operatsiooni taga on ohus osalejad. on varem kasutanud oma kasuliku koormuse hostimiseks seaduslikke teenuseid, nagu Autodesk A360 Drive ja GitHub.
Täitmisel käivitab LNK-fail Windowsi käsukesta, mis kuvab adressaadile võlts-PDF-faili ja toob samast WebDAV-serveri asukohast PVT-kasuliku koormuse nimega 'c.cmd'.
See BPyCode'i käivitajana tuntud fail käivitab Base64-kodeeritud PowerShelli käsu, mis omakorda laadib ametlikult www.python.org saidilt alla Pythoni binaarfaili, et käivitada Pythoni skript nimega BPyCode.
Rünnaku osana kasutusele võetud täiendavad kahjulikud tööriistad
BPyCode toimib dünaamilise lingi teegi ('executor.dll') allalaadijana ja käivitab selle mälus. DLL saadakse ühelt domeeninimelt, mis on loodud domeeni genereerimise algoritmi (DGA) abil.
Tundub, et loodud hostinimed ühtivad teenusega Microsoft Azure Functions lingitud hostinimedega. See on serverita infrastruktuur, mis võimaldab operaatoritel mugavalt juurutada ja pöörata oma lavastusinfrastruktuuri. Üksikasjalikumalt hangib BPyCode välja marineerimisfaili, mis sisaldab kolme üksust: sekundaarne Pythoni laadimisskript, ZIP-arhiiv, mis sisaldab paketti PythonMemoryModule, ja teine ZIP-arhiiv, mis sisaldab faili „executor.dll”.
Seejärel aktiveeritakse uus Pythoni laadimisskript, et laadida PythonMemoryModule'i abil mällu executor.dll, Borland Delphi-põhine pahavara, tuntud ka kui ExecutorLoader. ExecutorLoaderi põhifunktsioon hõlmab AllaSenha dekodeerimist ja käivitamist, sisestades selle seaduslikku mshta.exe protsessi.
AllaSenha RAT kogub ohvrite pangatunnistusi
Lisaks veebibrauseritesse salvestatud Interneti-panganduse mandaatide kogumisele on AllaSenhal võime esitada ülekatteaknaid, mis võimaldab püüda kahefaktorilise autentimise (2FA) koode ja isegi sundida ohvreid QR-koodi skannima, et lubada ründajate algatatud petturlikku tehingut. .
AllaSenha töötab algse failinime Access_PC_Client_dll.dll all, mis on eriti seotud KL Gorki projektiga. See pangandus pahavara näib ühendavat nii AllaKore'i kui ka ServerSocketina tuntud ohu elemente.
Algse LNK-faili ja AllaSenhaga seotud lähtekoodi põhjalikum uurimine viitab portugali keelt kõneleva isiku bert1m kaasamisele pahavara arendamisse. Praegu puuduvad aga tõendid nende tööriistade otsese kasutamise kohta.
Teadlased rõhutavad, et Ladina-Ameerikas tegutsevad küberkurjategijad näitavad üles märkimisväärset produktiivsust küberkuritegevuse kampaaniate käivitamisel. Kuigi nende peamine eesmärk on suunata Ladina-Ameerika üksikisikuid pangandusteabe varastamisele, rikuvad need osalejad sageli kogu maailmas, eriti Brasiilias, tütarettevõtete või töötajate hallatavaid arvuteid.
