AllaSenha mobilni zlonamjerni softver
Brazilske banke suočene su s novim napadom jer nova kampanja uvodi trojanca s udaljenim pristupom (RAT) nazvanog AllaSenha. Ovaj je zlonamjerni softver prilagođen za krađu vjerodajnica ključnih za pristup brazilskom bankovnom računu, koristeći Azure oblak kao svoju infrastrukturu za upravljanje i kontrolu (C2). Analitičari koji pomno proučavaju ovu prijetnju potvrdili su njezinu sličnost s prilagođenom iteracijom mobilnog zlonamjernog softvera AllaKore temeljenog na sustavu Windows.
Značajne bankarske institucije na meti ove otkrivene ofenzive obuhvaćaju Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob i Sicredi. Iako točna početna metoda pristupa ostaje nepotvrđena, indikacije upućuju na korištenje prijetećih veza unutar phishing komunikacije.
Sadržaj
Početna faza lanca napada koji isporučuje AllaSenha RAT
Napad započinje lažnom datotekom Windows prečaca (LNK) koja se predstavlja kao PDF dokument ('NotaFiscal.pdf.lnk'), koja se nalazi na WebDAV poslužitelju najmanje od ožujka 2024. Štoviše, postoje naznake da akteri prijetnje stoje iza ove operacije već su iskorištavali legitimne usluge kao što su Autodesk A360 Drive i GitHub za hostiranje svojih korisnih sadržaja.
Nakon izvršenja, LNK datoteka pokreće Windows naredbenu ljusku, koja prikazuje lažnu PDF datoteku primatelju dok također dohvaća BAT korisni teret pod nazivom 'c.cmd' s iste lokacije WebDAV poslužitelja.
Poznata kao pokretač BPyCode, ova datoteka pokreće naredbu PowerShell kodiranu Base64, koja zauzvrat preuzima Python binarnu datoteku sa službene web stranice www.python.org kako bi izvršila Python skriptu pod nazivom BPyCode.
Dodatni štetni alati postavljeni kao dio napada
BPyCode služi kao downloader za biblioteku dinamičkih veza ('executor.dll') i izvršava je u memoriji. DLL se dobiva iz jednog od naziva domena generiranih putem algoritma za generiranje domene (DGA).
Čini se da su generirani nazivi hostova usklađeni s onima koji su povezani s uslugom Microsoft Azure Functions, infrastrukturom bez poslužitelja koja, u ovom kontekstu, omogućuje operaterima prikladnu implementaciju i rotaciju njihove pripremne infrastrukture. Detaljnije, BPyCode dohvaća pickle datoteku koja sadrži tri stavke: sekundarnu Python skriptu za učitavanje, ZIP arhivu koja sadrži paket PythonMemoryModule i drugu ZIP arhivu koja sadrži 'executor.dll'.
Potom se aktivira nova skripta za učitavanje Pythona za učitavanje 'executor.dll', zlonamjernog softvera temeljenog na Borland Delphiju, također poznatog kao ExecutorLoader, u memoriju pomoću PythonMemoryModule. Primarna funkcija ExecutorLoadera uključuje dekodiranje i izvršavanje AllaSenha ubacivanjem u legitiman proces mshta.exe.
AllaSenha RAT prikuplja bankovne vjerodajnice žrtava
Osim prikupljanja vjerodajnica za internetsko bankarstvo pohranjenih u web preglednicima, AllaSenha posjeduje mogućnost predstavljanja preklapajućih prozora, omogućujući hvatanje kodova za autentifikaciju s dva faktora (2FA), pa čak i prisiljavanje žrtava da skeniraju QR kod za autorizaciju lažne transakcije koju pokreću napadači. .
AllaSenha radi pod izvornim nazivom datoteke Access_PC_Client_dll.dll, oznakom koja je posebno povezana s projektom KL Gorki. Čini se da ovaj bankovni zlonamjerni softver spaja elemente iz AllaKorea i prijetnje poznate kao ServerSocket.
Dublje ispitivanje izvornog koda povezanog s početnom LNK datotekom i AllaSenha sugerira uključenost osobe koja govori portugalski pod imenom bert1m u razvoju zlonamjernog softvera. Međutim, trenutno nema dokaza koji bi upućivali na njihovo izravno djelovanje na alate.
Istraživači ističu da kibernetički kriminalci koji djeluju u Latinskoj Americi pokazuju zapaženu produktivnost u pokretanju kampanja protiv kibernetičkog kriminala. Iako je njihov primarni fokus ciljanje pojedinaca iz Latinske Amerike radi krađe bankovnih podataka, ovi akteri često kompromitiraju računala kojima upravljaju podružnice ili zaposlenici diljem svijeta, osobito u Brazilu.
