„AllaSenha Mobile“ kenkėjiška programa
Brazilijos bankai susiduria su nauju puolimu, nes naujoje kampanijoje pristatomas nuotolinės prieigos Trojos arklys (RAT), pavadintas AllaSenha. Ši kenkėjiška programa sukurta taip, kad pavogtų kredencialus, kurie yra svarbūs norint pasiekti Brazilijos banko sąskaitą, naudojant Azure debesį kaip komandų ir valdymo (C2) infrastruktūrą. Analitikai, nagrinėjantys šią grėsmę, patvirtino jos panašumą į pritaikytą „Windows“ pagrindu veikiančios „AllaKore“ mobiliosios kenkėjiškos programos iteraciją.
Žymios bankų institucijos, kurioms taikytas šis atskleistas puolimas, apima Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob ir Sicredi. Nors tikslus pradinės prieigos metodas lieka nepatvirtintas, ženklai rodo, kad sukčiavimo komunikacijose naudojamos grėsmingos nuorodos.
Turinys
Pradinis puolimo grandinės etapas, pristatantis AllaSenha RAT
Ataka prasideda nuo apgaulingo „Windows“ sparčiojo klavišo (LNK) failo, kuris yra PDF dokumentas („NotaFiscal.pdf.lnk“), talpinamas WebDAV serveryje mažiausiai nuo 2024 m. kovo mėn. Be to, yra požymių, kad šią operaciją slegia grėsmės veikėjai. anksčiau naudojo teisėtas paslaugas, tokias kaip „Autodesk A360 Drive“ ir „GitHub“, kad priglobtų savo naudingąsias apkrovas.
Vykdant LNK failą suaktyvinamas „Windows“ komandų apvalkalas, kuris gavėjui parodo netikrą PDF failą, kartu iš tos pačios WebDAV serverio vietos gauna GPGB naudingą apkrovą, pavadintą „c.cmd“.
Šis failas, žinomas kaip BPyCode paleidimo priemonė, inicijuoja „Base64“ koduotą „PowerShell“ komandą, kuri savo ruožtu atsisiunčia „Python“ dvejetainį failą iš oficialios www.python.org svetainės, kad paleistų Python scenarijų, pavadintą BPyCode.
Papildomi žalingi įrankiai, naudojami kaip atakos dalis
„BPyCode“ veikia kaip dinaminės nuorodos bibliotekos („executor.dll“) atsisiuntimo priemonė ir vykdo ją atmintyje. DLL gaunamas iš vieno iš domenų vardų, sugeneruotų naudojant domeno generavimo algoritmą (DGA).
Atrodo, kad sugeneruoti pagrindinio kompiuterio pavadinimai sutampa su pavadinimais, susietais su „Microsoft Azure Functions“ paslauga, be serverio infrastruktūra, kuri šiame kontekste leidžia operatoriams patogiai įdiegti ir pasukti savo sustojimo infrastruktūrą. Išsamiau, BPyCode nuskaito marinavimo failą, kuriame yra trys elementai: antrinis Python įkėlimo scenarijus, ZIP archyvas, kuriame yra PythonMemoryModule paketas, ir kitas ZIP archyvas, kuriame yra „executor.dll“.
Vėliau suaktyvinamas naujas Python įkėlimo scenarijus, kad naudojant PythonMemoryModule į atmintį būtų įkelta „executor.dll“, „Borland Delphi“ pagrindu sukurta kenkėjiška programa, dar žinoma kaip „ExecutorLoader“. Pagrindinė „ExecutorLoader“ funkcija yra „AllaSenha“ dekodavimas ir vykdymas, įterpiant ją į teisėtą mshta.exe procesą.
AllaSenha RAT renka aukų bankininkystės kredencialus
Be interneto naršyklėse saugomų internetinės bankininkystės kredencialų surinkimo, AllaSenha turi galimybę pateikti perdangos langus, leidžiančius užfiksuoti dviejų faktorių autentifikavimo (2FA) kodus ir netgi priversti aukas nuskaityti QR kodą, kad būtų patvirtinta apgaulinga užpuoliko inicijuota operacija. .
AllaSenha veikia originaliu failo pavadinimu Access_PC_Client_dll.dll, žymėjimu, ypač susijusiu su KL Gorki projektu. Panašu, kad ši bankinė kenkėjiška programa sujungia elementus iš AllaKore ir grėsmės, žinomos kaip ServerSocket.
Išsamiau išnagrinėjus šaltinio kodą, susietą su pradiniu LNK failu ir „AllaSenha“, galima manyti, kad kuriant kenkėjišką programą turėtų dalyvauti portugališkai kalbantis asmuo, vardu bert1m. Tačiau šiuo metu nėra jokių įrodymų, rodančių, kad jie tiesiogiai naudoja įrankius.
Tyrėjai pabrėžia, kad Lotynų Amerikoje veikiantys kibernetiniai nusikaltėliai demonstruoja vertą produktyvumą pradėdami kibernetinių nusikaltimų kampanijas. Nors pagrindinis dėmesys skiriamas Lotynų Amerikos asmenims, siekiant pavogti bankinę informaciją, šie veikėjai dažnai kenkia kompiuteriams, kuriuos valdo dukterinės įmonės arba darbuotojai visame pasaulyje, ypač Brazilijoje.
