بدافزار موبایل AllaSenha

بانک های برزیلی با هجوم جدیدی روبرو هستند زیرا کمپین جدیدی یک تروجان دسترسی از راه دور (RAT) با نام AllaSenha را معرفی می کند. این بدافزار برای دستبرد به اعتبارنامه‌های حیاتی برای دسترسی به حساب بانکی برزیل طراحی شده است و از ابر Azure به عنوان زیرساخت فرماندهی و کنترل (C2) خود استفاده می‌کند. تحلیلگرانی که این تهدید را بررسی می کنند، شباهت آن به تکرار سفارشی بدافزار موبایل AllaKore مبتنی بر ویندوز را تایید کرده اند.

موسسات بانکی قابل توجهی که در این حمله فاش شده مورد هدف قرار گرفته اند، بانکو دو برزیل، برادسکو، بانک سافرا، کایکسا اکونومیکا فدرال، ایتا یونیبانکو، سیکوب و سیکردی را در بر می گیرند. در حالی که روش دسترسی اولیه دقیق هنوز تایید نشده است، نشانه ها حاکی از استفاده از پیوندهای تهدید کننده در ارتباطات فیشینگ است.

مرحله اولیه زنجیره حمله تحویل AllaSenha RAT

حمله با یک فایل میانبر فریبنده ویندوز (LNK) که به عنوان یک سند PDF ظاهر می شود ('NotaFiscal.pdf.lnk')، که حداقل از مارس 2024 بر روی یک سرور WebDAV میزبانی می شود، آغاز می شود. علاوه بر این، نشانه هایی وجود دارد که عوامل تهدید در پشت این عملیات وجود دارد. قبلاً از خدمات قانونی مانند Autodesk A360 Drive و GitHub برای میزبانی بارهای خود استفاده کرده اند.

پس از اجرا، فایل LNK یک پوسته فرمان ویندوز را راه‌اندازی می‌کند که یک فایل پی‌دی‌اف جعلی را به گیرنده نمایش می‌دهد و در عین حال یک بار BAT به نام «c.cmd» را از همان محل سرور WebDAV دریافت می‌کند.

این فایل که به عنوان راه‌انداز BPyCode شناخته می‌شود، یک فرمان PowerShell با کد Base64 را آغاز می‌کند، که به نوبه خود باینری پایتون را از سایت رسمی www.python.org دانلود می‌کند تا یک اسکریپت پایتون به نام BPyCode را اجرا کند.

ابزارهای مضر اضافی که به عنوان بخشی از حمله مستقر شده اند

BPyCode به عنوان یک دانلود کننده برای یک کتابخانه پیوند پویا ('executor.dll') عمل می کند و آن را در حافظه اجرا می کند. DLL از یکی از نام های دامنه تولید شده از طریق الگوریتم تولید دامنه (DGA) به دست می آید.

به نظر می‌رسد نام‌های میزبان تولید شده با آن‌هایی که به سرویس Microsoft Azure Functions مرتبط هستند، همسو می‌شوند، یک زیرساخت بدون سرور که در این زمینه، اپراتورها را قادر می‌سازد تا به راحتی زیرساخت مرحله‌ای خود را مستقر کرده و بچرخانند. در جزئیات، BPyCode یک فایل pickle حاوی سه آیتم را بازیابی می‌کند: یک اسکریپت بارگذار ثانویه پایتون، یک آرشیو ZIP حاوی بسته PythonMemoryModule و یک بایگانی ZIP دیگر حاوی "executor.dll".

متعاقباً، اسکریپت جدید بارگذار پایتون برای بارگذاری «executor.dll»، یک بدافزار مبتنی بر Borland Delphi، که به عنوان ExecutorLoader نیز شناخته می‌شود، در حافظه با استفاده از PythonMemoryModule فعال می‌شود. عملکرد اصلی ExecutorLoader شامل رمزگشایی و اجرای AllaSenha با تزریق آن به یک فرآیند قانونی mshta.exe است.

AllaSenha RAT اعتبار بانکی قربانیان را برداشت می کند

جدا از جمع آوری اعتبارنامه های بانکی آنلاین ذخیره شده در مرورگرهای وب، AllaSenha دارای قابلیت ارائه پنجره های همپوشانی است که امکان ضبط کدهای احراز هویت دو مرحله ای (2FA) و حتی وادار کردن قربانیان را به اسکن یک کد QR برای مجوز دادن به تراکنش جعلی که توسط مهاجمان آغاز شده است را دارد. .

AllaSenha تحت نام فایل اصلی Access_PC_Client_dll.dll عمل می کند، نامی که به طور مشخص با پروژه KL Gorki مرتبط است. به نظر می رسد این بدافزار بانکی عناصر AllaKore و تهدیدی به نام ServerSocket را با هم ترکیب می کند.

بررسی عمیق‌تر کد منبع مرتبط با فایل LNK اولیه و AllaSenha نشان می‌دهد که فردی پرتغالی به نام bert1m در توسعه بدافزار دخالت دارد. با این حال، در حال حاضر هیچ مدرکی دال بر عملکرد مستقیم آنها از ابزارها وجود ندارد.

محققان تاکید می کنند که مجرمان سایبری فعال در آمریکای لاتین بهره وری قابل توجهی را در راه اندازی کمپین های جرایم سایبری نشان می دهند. در حالی که تمرکز اصلی آنها در هدف قرار دادن افراد آمریکای لاتین برای سرقت اطلاعات بانکی است، این بازیگران اغلب رایانه‌هایی را که توسط شرکت‌های تابعه یا کارمندان در سراسر جهان، به ویژه در برزیل اداره می‌شوند، به خطر می‌اندازند.