AllaSenha Mobile Malware

A brazil bankok új támadás előtt állnak, mivel egy új kampány bemutatja az AllaSenha névre keresztelt Remote Access Trojan (RAT) nevű trójai programot. Ezt a rosszindulatú programot úgy alakították ki, hogy ellopja a brazil bankszámla-hozzáféréshez elengedhetetlen hitelesítő adatokat, az Azure felhőt használva Command-and-Control (C2) infrastruktúrájaként. A fenyegetést vizsgáló elemzők megerősítették a hasonlóságot a Windows-alapú AllaKore mobil malware testreszabott iterációjával.

A feltárt offenzíva célpontjai közé tartozik a Banco do Brasil, a Bradesco, a Banco Safra, a Caixa Econômica Federal, az Itaú Unibanco, a Sicoob és a Sicredi. Míg a pontos kezdeti hozzáférési módszert nem erősítették meg, a jelek arra utalnak, hogy fenyegető hivatkozásokat használnak az adathalász kommunikációban.

Az AllaSenha RAT-ot szállító támadási lánc kezdeti szakasza

A támadás egy megtévesztő Windows parancsikon (LNK) fájllal kezdődik, amely PDF-dokumentumként jelenik meg ("NotaFiscal.pdf.lnk"), amelyet egy WebDAV-kiszolgálón tárolnak legalább 2024 márciusa óta. Ezen túlmenően a jelek szerint a művelet mögött fenyegető szereplők állnak. korábban olyan törvényes szolgáltatásokat használtak ki, mint például az Autodesk A360 Drive és a GitHub, hogy tárolják a rakományaikat.

A végrehajtás során az LNK-fájl elindít egy Windows parancshéjat, amely hamis PDF-fájlt jelenít meg a címzett számára, miközben lekéri a „c.cmd” nevű BAT-adatot ugyanarról a WebDAV-kiszolgálóról.

Ez a BPyCode indítóként ismert fájl egy Base64 kódolású PowerShell-parancsot indít, amely letölti a Python bináris fájlt a hivatalos www.python.org webhelyről, hogy végrehajtsa a BPyCode nevű Python-szkriptet.

A támadás részeként bevetett további káros eszközök

A BPyCode letöltőként szolgál egy dinamikus hivatkozású könyvtárhoz ('executor.dll'), és végrehajtja azt a memóriában. A DLL-t a tartománygeneráló algoritmus (DGA) által generált tartománynevek egyikéből szerezzük be.

Úgy tűnik, hogy a generált gazdagépnevek igazodnak a Microsoft Azure Functions szolgáltatáshoz, egy kiszolgáló nélküli infrastruktúrához kapcsolódóakhoz, amely ebben az összefüggésben lehetővé teszi az üzemeltetők számára, hogy kényelmesen üzembe helyezzék és forgathassák átmeneti infrastruktúrájukat. Részletesen, a BPyCode lekér egy pácfájlt, amely három elemet tartalmaz: egy másodlagos Python-betöltő szkriptet, egy ZIP-archívumot, amely a PythonMemoryModule csomagot tartalmazza, és egy másik ZIP-archívumot, amely az "executor.dll" fájlt tartalmazza.

Ezt követően az új Python betöltő szkript aktiválódik, hogy a PythonMemoryModule segítségével betöltse az executor.dll-t, egy Borland Delphi-alapú kártevőt, más néven ExecutorLoader-t. Az ExecutorLoader elsődleges funkciója az AllaSenha dekódolása és végrehajtása azáltal, hogy beilleszti egy legitim mshta.exe folyamatba.

Az AllaSenha RAT begyűjti az áldozatok banki hitelesítő adatait

A webböngészőkben tárolt online banki hitelesítő adatok begyűjtése mellett az AllaSenha képes átfedő ablakok bemutatására, lehetővé téve a kéttényezős hitelesítési (2FA) kódok rögzítését, és még arra is kényszeríti az áldozatokat, hogy QR-kódot olvassanak be, hogy engedélyezzék a támadók által kezdeményezett csalárd tranzakciót. .

Az AllaSenha az eredeti Access_PC_Client_dll.dll fájlnéven működik, amely elnevezés különösen a KL Gorki projekthez kapcsolódik. Úgy tűnik, hogy ez a banki kártevő egyesíti az AllaKore elemeit és a ServerSocket néven ismert fenyegetést.

Az eredeti LNK-fájlhoz és az AllaSenhához kapcsolódó forráskód alaposabb vizsgálata azt sugallja, hogy egy bert1m nevű portugálul beszélő személy is részt vesz a kártevő fejlesztésében. Jelenleg azonban nincs bizonyíték az eszközök közvetlen működésére.

A kutatók kiemelik, hogy a Latin-Amerikában tevékenykedő kiberbűnözők figyelemre méltó produktivitást mutatnak kiberbűnözési kampányok indításakor. Noha elsődleges céljuk latin-amerikai egyének megcélzása banki információk ellopása céljából, ezek a szereplők gyakran veszélyeztetik a leányvállalatok vagy alkalmazottak által üzemeltetett számítógépeket világszerte, különösen Brazíliában.