AllaSenha Mobile Malware
ធនាគារប្រេស៊ីលកំពុងប្រឈមនឹងការវាយប្រហារថ្មី ខណៈយុទ្ធនាការថ្មីមួយណែនាំពីការចូលប្រើប្រាស់ពីចម្ងាយ Trojan (RAT) ដែលមានឈ្មោះថា AllaSenha។ មេរោគនេះត្រូវបានរៀបចំឡើងដើម្បីលួចលាក់ព័ត៌មានសម្ងាត់សំខាន់ៗសម្រាប់ការចូលប្រើគណនីធនាគារប្រេស៊ីល ដោយប្រើប្រាស់ Azure cloud ជាហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) របស់វា។ អ្នកវិភាគដែលពិនិត្យមើលការគំរាមកំហែងនេះបានបញ្ជាក់ពីភាពស្រដៀងគ្នារបស់វាទៅនឹងការកែប្រែឡើងវិញនៃមេរោគទូរស័ព្ទចល័ត AllaKore ដែលមានមូលដ្ឋានលើវីនដូ។
ស្ថាប័នធនាគារដែលគួរអោយកត់សំគាល់ដែលកំណត់គោលដៅក្នុងការវាយលុកដែលបានបង្ហាញនេះរួមមាន Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob និង Sicredi ។ ខណៈពេលដែលវិធីសាស្ត្រចូលប្រើដំបូងច្បាស់លាស់នៅតែមិនបានបញ្ជាក់ សូចនាករណែនាំការប្រើប្រាស់តំណភ្ជាប់គំរាមកំហែងនៅក្នុងទំនាក់ទំនងបន្លំ។
តារាងមាតិកា
ដំណាក់កាលដំបូងនៃខ្សែសង្វាក់វាយប្រហារបញ្ជូន AllaSenha RAT
ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងឯកសារផ្លូវកាត់ Windows បោកបញ្ឆោត (LNK) ដែលដាក់ជាឯកសារ PDF ('NotaFiscal.pdf.lnk') ដែលបង្ហោះនៅលើម៉ាស៊ីនមេ WebDAV ចាប់តាំងពីយ៉ាងហោចណាស់ខែមីនា ឆ្នាំ 2024។ លើសពីនេះ មានការចង្អុលបង្ហាញថាអ្នកគំរាមកំហែងនៅពីក្រោយប្រតិបត្តិការនេះ ពីមុនបានទាញយកសេវាកម្មស្របច្បាប់ដូចជា Autodesk A360 Drive និង GitHub ដើម្បីធ្វើការផ្ទុកបន្ទុករបស់ពួកគេ។
នៅពេលប្រតិបត្តិ ឯកសារ LNK ចាប់ផ្តើមសែលពាក្យបញ្ជារបស់ Windows ដែលបង្ហាញឯកសារ PDF ក្លែងក្លាយទៅកាន់អ្នកទទួល ខណៈពេលដែលយក BAT payload ដែលមានឈ្មោះថា 'c.cmd' ពីទីតាំងម៉ាស៊ីនមេ WebDAV ដូចគ្នា។
ត្រូវបានគេស្គាល់ថាជាកម្មវិធីបើកដំណើរការ BPyCode ឯកសារនេះផ្តួចផ្តើមពាក្យបញ្ជា PowerShell ដែលបានអ៊ិនកូដ Base64 ដែលទាញយក Python binary ពីគេហទំព័រផ្លូវការ www.python.org ដើម្បីប្រតិបត្តិអក្សរ Python ដែលមានឈ្មោះថា BPyCode ។
ឧបករណ៍បង្កគ្រោះថ្នាក់បន្ថែមត្រូវបានដាក់ឱ្យប្រើប្រាស់ជាផ្នែកនៃការវាយប្រហារ
BPyCode បម្រើជាអ្នកទាញយកសម្រាប់បណ្ណាល័យតំណថាមវន្ត ('executor.dll') ហើយប្រតិបត្តិវានៅក្នុងអង្គចងចាំ។ DLL ត្រូវបានទទួលពីឈ្មោះដែនមួយដែលបានបង្កើតតាមរយៈក្បួនដោះស្រាយជំនាន់ដែន (DGA)។
ឈ្មោះម៉ាស៊ីនដែលបានបង្កើតហាក់ដូចជាត្រូវគ្នាជាមួយនឹងសេវាកម្មដែលភ្ជាប់ទៅសេវាកម្ម Microsoft Azure Functions ដែលជាហេដ្ឋារចនាសម្ព័ន្ធគ្មានម៉ាស៊ីនមេ ដែលក្នុងបរិបទនេះ អាចឱ្យប្រតិបត្តិករអាចដាក់ពង្រាយ និងបង្វិលហេដ្ឋារចនាសម្ព័ន្ធដំណាក់កាលរបស់ពួកគេ។ លម្អិត BPyCode ទាញយកឯកសារ pickle ដែលមានធាតុបី៖ ស្គ្រីបកម្មវិធីផ្ទុក Python ទីពីរ បណ្ណសារហ្ស៊ីបដែលមានកញ្ចប់ PythonMemoryModule និងបណ្ណសារហ្ស៊ីបមួយទៀតដែលមាន 'executor.dll' ។
ក្រោយមក ស្គ្រីបកម្មវិធីផ្ទុកទិន្នន័យ Python ថ្មីត្រូវបានធ្វើឱ្យសកម្មដើម្បីផ្ទុក 'executor.dll' ដែលជាមេរោគដែលមានមូលដ្ឋានលើ Borland Delphi ដែលត្រូវបានគេស្គាល់ថាជា ExecutorLoader ទៅក្នុងអង្គចងចាំដោយប្រើ PythonMemoryModule ។ មុខងារចម្បងរបស់ ExecutorLoader ពាក់ព័ន្ធនឹងការឌិកូដ និងប្រតិបត្តិ AllaSenha ដោយបញ្ចូលវាទៅក្នុងដំណើរការ mshta.exe ស្របច្បាប់។
The AllaSenha RAT ប្រមូលឯកសារបញ្ជាក់អត្តសញ្ញាណធនាគារជនរងគ្រោះ
ក្រៅពីការប្រមូលយកព័ត៌មានសម្ងាត់ធនាគារតាមអ៊ីនធឺណិតដែលរក្សាទុកក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត AllaSenha មានសមត្ថភាពបង្ហាញផ្ទាំងត្រួតលើគ្នា ដោយអនុញ្ញាតឱ្យចាប់យកកូដផ្ទៀងផ្ទាត់ពីរកត្តា (2FA) និងសូម្បីតែបង្ខិតបង្ខំជនរងគ្រោះឱ្យស្កែនកូដ QR ដើម្បីអនុញ្ញាតប្រតិបត្តិការក្លែងក្លាយដែលផ្ដើមដោយអ្នកវាយប្រហារ។ .
AllaSenha ដំណើរការក្រោមឈ្មោះឯកសារដើម Access_PC_Client_dll.dll ដែលជាការរចនាគួរឱ្យកត់សម្គាល់ដែលត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងគម្រោង KL Gorki ។ មេរោគធនាគារនេះបង្ហាញពីធាតុផ្សំពីទាំង AllaKore និងការគំរាមកំហែងដែលគេស្គាល់ថាជា ServerSocket។
ការត្រួតពិនិត្យកាន់តែស៊ីជម្រៅនៃកូដប្រភពដែលភ្ជាប់ទៅនឹងឯកសារ LNK ដំបូង ហើយ AllaSenha ស្នើឱ្យមានការចូលរួមរបស់បុគ្គលដែលនិយាយភាសាព័រទុយហ្គាល់ឈ្មោះ bert1m ក្នុងការអភិវឌ្ឍន៍មេរោគ។ ទោះបីជាយ៉ាងណាក៏ដោយ បច្ចុប្បន្នមិនមានភស្តុតាងណាមួយដែលបង្ហាញពីប្រតិបត្តិការផ្ទាល់របស់ពួកគេចំពោះឧបករណ៍នោះទេ។
អ្នកស្រាវជ្រាវគូសបញ្ជាក់ថា ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលកំពុងប្រតិបត្តិការនៅអាមេរិកឡាទីនបង្ហាញពីផលិតភាពគួរឱ្យកត់សម្គាល់ក្នុងការចាប់ផ្តើមយុទ្ធនាការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ ខណៈពេលដែលការផ្តោតសំខាន់របស់ពួកគេគឺផ្តោតលើបុគ្គលអាមេរិកឡាទីនដើម្បីលួចព័ត៌មានធនាគារ តួអង្គទាំងនេះតែងតែសម្របសម្រួលកុំព្យូទ័រដែលដំណើរការដោយក្រុមហ៊ុនបុត្រសម្ព័ន្ធ ឬបុគ្គលិកទូទាំងពិភពលោក ជាពិសេសនៅក្នុងប្រទេសប្រេស៊ីល។
