AllaSenha Mobile Malware

ब्राज़ील के बैंकों को एक नए हमले का सामना करना पड़ रहा है क्योंकि एक नए अभियान ने अल्लासेन्हा नामक रिमोट एक्सेस ट्रोजन (RAT) को पेश किया है। यह मैलवेयर ब्राज़ील के बैंक खाते तक पहुँच के लिए ज़रूरी क्रेडेंशियल्स को चुराने के लिए बनाया गया है, जो Azure क्लाउड को अपने कमांड-एंड-कंट्रोल (C2) इंफ्रास्ट्रक्चर के रूप में इस्तेमाल करता है। इस खतरे की जाँच करने वाले विश्लेषकों ने पुष्टि की है कि यह विंडोज-आधारित अल्लाकोर मोबाइल मैलवेयर के एक अनुकूलित पुनरावृत्ति जैसा है।

इस खुलासे में लक्षित उल्लेखनीय बैंकिंग संस्थानों में बैंको डू ब्रासिल, ब्रैडेस्को, बैंको सफ़्रा, कैक्सा इकोनॉमिका फ़ेडरल, इटाउ यूनिबैंको, सिकोब और सिक्रेडी शामिल हैं। जबकि सटीक प्रारंभिक पहुँच विधि अभी भी अपुष्ट है, संकेत फ़िशिंग संचार के भीतर धमकी भरे लिंक के उपयोग का सुझाव देते हैं।

अल्लासेन्हा आरएटी वितरित करने वाली हमला श्रृंखला का प्रारंभिक चरण

यह हमला एक भ्रामक विंडोज शॉर्टकट (LNK) फ़ाइल के साथ शुरू होता है, जो एक PDF दस्तावेज़ ('NotaFiscal.pdf.lnk') के रूप में प्रस्तुत होता है, जिसे कम से कम मार्च 2024 से WebDAV सर्वर पर होस्ट किया जाता है। इसके अलावा, ऐसे संकेत हैं कि इस ऑपरेशन के पीछे के ख़तरा पैदा करने वाले लोगों ने पहले भी अपने पेलोड को होस्ट करने के लिए ऑटोडेस्क A360 ड्राइव और GitHub जैसी वैध सेवाओं का शोषण किया है।

निष्पादन के समय, LNK फ़ाइल एक विंडोज़ कमांड शेल को सक्रिय करती है, जो प्राप्तकर्ता को एक नकली PDF फ़ाइल प्रदर्शित करती है, तथा उसी WebDAV सर्वर स्थान से 'c.cmd' नामक BAT पेलोड भी प्राप्त करती है।

BPyCode लांचर के रूप में ज्ञात यह फ़ाइल एक Base64-एन्कोडेड PowerShell कमांड आरंभ करती है, जो बदले में आधिकारिक www.python.org साइट से Python बाइनरी को डाउनलोड करके BPyCode नामक Python स्क्रिप्ट को निष्पादित करती है।

हमले के हिस्से के रूप में अतिरिक्त हानिकारक उपकरण तैनात किए गए

BPyCode डायनेमिक-लिंक लाइब्रेरी ('executor.dll') के लिए डाउनलोडर के रूप में कार्य करता है और इसे मेमोरी में निष्पादित करता है। DLL को डोमेन जनरेशन एल्गोरिदम (DGA) के माध्यम से उत्पन्न डोमेन नामों में से एक से प्राप्त किया जाता है।

उत्पन्न होस्टनाम Microsoft Azure फ़ंक्शन सेवा से जुड़े होस्टनामों के साथ संरेखित प्रतीत होते हैं, जो एक सर्वर रहित अवसंरचना है, जो इस संदर्भ में, ऑपरेटरों को अपने स्टेजिंग अवसंरचना को सुविधाजनक रूप से तैनात और घुमाने में सक्षम बनाती है। विस्तार से, BPyCode तीन आइटम वाली एक पिकल फ़ाइल को पुनर्प्राप्त करता है: एक द्वितीयक पायथन लोडर स्क्रिप्ट, PythonMemoryModule पैकेज युक्त एक ज़िप संग्रह और 'executor.dll' युक्त एक अन्य ज़िप संग्रह।

इसके बाद, नई पायथन लोडर स्क्रिप्ट सक्रिय हो जाती है, ताकि 'executor.dll' लोड हो सके, जो एक बोरलैंड डेल्फी-आधारित मैलवेयर है, जिसे ExecutorLoader के नाम से भी जाना जाता है, PythonMemoryModule का उपयोग करके मेमोरी में लोड किया जा सके। ExecutorLoader का प्राथमिक कार्य AllaSenha को वैध mshta.exe प्रक्रिया में इंजेक्ट करके उसे डिकोड करना और निष्पादित करना शामिल है।

अल्लासेन्हा आरएटी पीड़ितों की बैंकिंग साख चुराता है

वेब ब्राउज़र में संग्रहीत ऑनलाइन बैंकिंग क्रेडेंशियल्स को प्राप्त करने के अलावा, अल्लासेन्हा में ओवरले विंडो प्रस्तुत करने की क्षमता भी है, जिससे दो-कारक प्रमाणीकरण (2FA) कोड को कैप्चर करने में मदद मिलती है और यहां तक कि हमलावरों द्वारा शुरू किए गए धोखाधड़ी वाले लेनदेन को अधिकृत करने के लिए पीड़ितों को क्यूआर कोड स्कैन करने के लिए मजबूर किया जा सकता है।

AllaSenha मूल फ़ाइल नाम Access_PC_Client_dll.dll के अंतर्गत काम करता है, जो KL Gorki प्रोजेक्ट से जुड़ा हुआ है। यह बैंकिंग मैलवेयर AllaKore और ServerSocket नामक खतरे दोनों के तत्वों को मिलाता हुआ प्रतीत होता है।

प्रारंभिक LNK फ़ाइल और AllaSenha से जुड़े स्रोत कोड की गहन जांच से पता चलता है कि मैलवेयर के विकास में bert1m नामक एक पुर्तगाली भाषी व्यक्ति की संलिप्तता थी। हालाँकि, वर्तमान में उनके द्वारा उपकरणों के प्रत्यक्ष संचालन का संकेत देने वाला कोई सबूत नहीं है।

शोधकर्ताओं ने इस बात पर प्रकाश डाला कि लैटिन अमेरिका में सक्रिय साइबर अपराधी साइबर अपराध अभियान शुरू करने में उल्लेखनीय उत्पादकता प्रदर्शित करते हैं। जबकि उनका प्राथमिक ध्यान बैंकिंग जानकारी चुराने के लिए लैटिन अमेरिकी व्यक्तियों को लक्षित करना है, ये अभिनेता अक्सर दुनिया भर में, विशेष रूप से ब्राजील में सहायक कंपनियों या कर्मचारियों द्वारा संचालित कंप्यूटरों से समझौता करते हैं।