תוכנה זדונית ניידת של AllaSenha

בנקים ברזילאים עומדים בפני הסתערות חדשה כאשר מסע פרסום חדש מציג טרויאני גישה מרחוק (RAT) המכונה AllaSenha. תוכנה זדונית זו מותאמת לגזל את האישורים החיוניים לגישה לחשבון בנק ברזילאי, תוך שימוש בענן Azure כתשתית ה-Command-and-Control (C2) שלו. אנליסטים שבדקו את האיום הזה אישרו את הדמיון שלו לאיטרציה מותאמת אישית של תוכנת זדונית סלולרית מבוססת Windows AllaKore.

מוסדות בנקאיים בולטים שנפגעו במתקפה הנחשפת הזו כוללים את Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob ו-Sicredi. בעוד ששיטת הגישה הראשונית המדויקת נותרה לא מאומתת, אינדיקציות מצביעות על שימוש בקישורים מאיימים בתקשורת דיוג.

השלב הראשוני של שרשרת ההתקפה המספקת AllaSenha RAT

המתקפה מתחילה עם קובץ קיצור מטעה של Windows (LNK) המתחזה למסמך PDF ('NotaFiscal.pdf.lnk'), המאוחסן בשרת WebDAV לפחות מאז מרץ 2024. יתרה מכך, יש אינדיקציות שגורמי האיום מאחורי פעולה זו ניצלו בעבר שירותים לגיטימיים כמו Autodesk A360 Drive ו-GitHub כדי לארח את המטענים שלהם.

עם הביצוע, קובץ ה-LNK מפעיל מעטפת פקודה של Windows, המציגה לנמען קובץ PDF מזויף תוך כדי שליפת מטען BAT בשם 'c.cmd' מאותו מיקום שרת WebDAV.

קובץ זה, המכונה משגר BPyCode, יוזם פקודת PowerShell מקודדת Base64, אשר בתורה מוריד את הקובץ הבינארי של Python מהאתר הרשמי www.python.org כדי להפעיל סקריפט Python בשם BPyCode.

כלים מזיקים נוספים שנפרסו כחלק מההתקפה

BPyCode משמש בתור הורדה של ספריית קישורים דינמיים ('executor.dll') ומבצע אותה בזיכרון. ה-DLL מתקבל מאחד משמות התחום שנוצר באמצעות אלגוריתם יצירת תחום (DGA).

נראה כי שמות המארחים שנוצרו עולים בקנה אחד עם אלה המקושרים לשירות Microsoft Azure Functions, תשתית ללא שרתים, שבהקשר זה, מאפשרת למפעילים לפרוס ולסובב בנוחות את תשתית ה-Staging שלהם. בפירוט, BPyCode מאחזר קובץ חמוצים המכיל שלושה פריטים: סקריפט משני לטעינת Python, ארכיון ZIP המכיל את חבילת PythonMemoryModule וארכיון ZIP אחר המכיל 'executor.dll'.

לאחר מכן, הסקריפט החדש של מטעין Python מופעל לטעינת 'executor.dll', תוכנה זדונית מבוססת Borland Delphi, הידועה גם בשם ExecutorLoader, לזיכרון באמצעות PythonMemoryModule. הפונקציה העיקרית של ExecutorLoader כוללת פענוח וביצוע של AllaSenha על ידי הזרקתו לתהליך mshta.exe לגיטימי.

ה-AllaSenha RAT קוטף את האישורים הבנקאיים של קורבנות

מלבד קצירת אישורי בנקאות מקוונים המאוחסנים בדפדפני אינטרנט, ל-AllaSenha יש את היכולת להציג חלונות שכבת-על, המאפשרים לכידת קודי אימות דו-גורמי (2FA) ואף לכפות על קורבנות לסרוק קוד QR כדי לאשר עסקה הונאה שיזמו התוקפים .

AllaSenha פועלת תחת שם הקובץ המקורי Access_PC_Client_dll.dll, ייעוד המשויך במיוחד לפרויקט KL Gorki. נראה כי תוכנה זדונית בנקאית זו ממזגת אלמנטים מ- AllaKore ומאיום המכונה ServerSocket.

בדיקה מעמיקה יותר של קוד המקור המקושר לקובץ ה-LNK הראשוני ו-AllaSenha מציעה מעורבות של אדם דובר פורטוגזית בשם bert1m בפיתוח התוכנה הזדונית. עם זאת, אין כיום עדויות המצביעות על הפעלתם הישירה של הכלים.

חוקרים מדגישים כי פושעי סייבר הפועלים באמריקה הלטינית מפגינים פרודוקטיביות ראויה לציון בהשקת מסעות פרסום של פשעי סייבר. בעוד שהמיקוד העיקרי שלהם נמצא במיקוד לאנשים הלטיניים כדי לגנוב מידע בנקאי, שחקנים אלה מתפשרים לעתים קרובות על מחשבים המופעלים על ידי חברות בנות או עובדים ברחבי העולם, במיוחד בברזיל.