Multi-License Discount Quote
위협 데이터베이스 Mobile Malware AllaSenha 모바일 악성코드

AllaSenha 모바일 악성코드

Mobile Malware, Banking Trojan년에 Mezo 년까지
번역 :
한국어

AllaSenha라는 이름의 원격 액세스 트로이 목마(RAT)가 등장하는 새로운 캠페인으로 브라질 은행들이 새로운 공격에 직면해 있습니다. 이 악성 코드는 Azure 클라우드를 명령 및 제어(C2) 인프라로 활용하여 브라질 은행 계좌 액세스에 중요한 자격 증명을 훔치도록 맞춤화되었습니다. 이 위협을 면밀히 조사한 분석가들은 이것이 Windows 기반 AllaKore 모바일 악성 코드의 맞춤형 반복과 유사하다는 것을 확인했습니다.

이번 공개 공격의 표적이 된 주목할만한 은행 기관에는 Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob 및 Sicredi가 포함됩니다. 정확한 초기 액세스 방법은 아직 확인되지 않았지만 피싱 통신 내에서 위협적인 링크를 활용하는 것으로 나타났습니다.

AllaSenha RAT를 전달하는 공격 체인의 초기 단계

공격은 적어도 2024년 3월부터 WebDAV 서버에 호스팅된 PDF 문서('NotaFiscal.pdf.lnk')로 위장한 사기성 Windows 바로가기(LNK) 파일로 시작됩니다. 이전에는 Autodesk A360 Drive 및 GitHub와 같은 합법적인 서비스를 활용하여 페이로드를 호스팅했습니다.

실행 시 LNK 파일은 Windows 명령 셸을 트리거하여 수신자에게 가짜 PDF 파일을 표시하는 동시에 동일한 WebDAV 서버 위치에서 'c.cmd'라는 BAT 페이로드를 가져옵니다.

BPyCode 실행기로 알려진 이 파일은 Base64로 인코딩된 PowerShell 명령을 시작하고, 공식 www.python.org 사이트에서 Python 바이너리를 다운로드하여 BPyCode라는 Python 스크립트를 실행합니다.

공격의 일부로 배포되는 추가 유해 도구

BPyCode는 동적 링크 라이브러리('executor.dll')에 대한 다운로더 역할을 하며 이를 메모리에서 실행합니다. DLL은 DGA(도메인 생성 알고리즘)를 통해 생성된 도메인 이름 중 하나에서 얻습니다.

생성된 호스트 이름은 서버리스 인프라인 Microsoft Azure Functions 서비스에 연결된 호스트 이름과 일치하는 것으로 보이며, 이 컨텍스트에서 운영자는 스테이징 인프라를 편리하게 배포하고 교체할 수 있습니다. 세부적으로 BPyCode는 보조 Python 로더 스크립트, PythonMemoryModule 패키지가 포함된 ZIP 아카이브, 'executor.dll'이 포함된 다른 ZIP 아카이브 등 세 가지 항목이 포함된 피클 파일을 검색합니다.

이후 새로운 Python 로더 스크립트가 활성화되어 PythonMemoryModule을 사용하여 ExecutorLoader라고도 알려진 Borland Delphi 기반 악성 코드인 'executor.dll'을 메모리에 로드합니다. ExecutorLoader의 주요 기능은 AllaSenha를 합법적인 mshta.exe 프로세스에 주입하여 디코딩하고 실행하는 것입니다.

AllaSenha RAT, 피해자의 은행 계좌 정보 수집

AllaSenha는 웹 브라우저에 저장된 온라인 뱅킹 자격 증명을 수집하는 것 외에도 오버레이 창을 표시하여 2단계 인증(2FA) 코드를 캡처하고 심지어 피해자가 QR 코드를 스캔하여 공격자가 시작한 사기 거래를 승인하도록 강요하는 기능도 보유하고 있습니다. .

AllaSenha는 원래 파일 이름인 Access_PC_Client_dll.dll(KL Gorki 프로젝트와 관련된 명칭)로 작동합니다. 이 뱅킹 악성코드는 AllaKore 와 ServerSocket이라는 위협의 요소를 융합한 것으로 보입니다.

초기 LNK 파일과 AllaSenha에 연결된 소스 코드를 자세히 조사한 결과 bert1m이라는 포르투갈어 사용자가 악성 코드 개발에 관여한 것으로 나타났습니다. 그러나 현재 도구를 직접 작동한다는 증거는 없습니다.

연구원들은 라틴 아메리카에서 활동하는 사이버 범죄자들이 사이버 범죄 캠페인을 시작하는 데 있어 상당한 생산성을 보여준다고 강조합니다. 이들 공격자는 은행 정보를 훔치기 위해 라틴 아메리카 개인을 표적으로 삼는 데 중점을 두고 있지만 특히 브라질을 중심으로 전 세계 자회사나 직원이 운영하는 컴퓨터를 손상시키는 경우가 많습니다.

트렌드

데이터 수집

Mac Malware, Adware, 잠재적으로 원하지 않는 프로그램
사이버 보안 연구원들은 침입적이고 신뢰할 수 없는 소프트웨어를 조사하는 동안 DataCollection 애플리케이션을 발견했습니다. 자세한 분석을 통해 그들은 애플리케이션이 원치 않는 광고를 표시하고 잠재적으로 사용자 데이터를 수집하는 일반적인 애드웨어와 유사하게 작동한다는 것을 확인했습니다. 또한 DataCollection은 특히 Mac 장치를...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
83,554
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
65,474
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...