AllaSenha mobilā ļaunprogrammatūra
Brazīlijas bankas saskaras ar jaunu uzbrukumu, jo jaunā kampaņā tiek ieviests attālās piekļuves Trojas zirgs (RAT), kas nodēvēts par AllaSenha. Šī ļaunprātīgā programmatūra ir izstrādāta, lai izzagtu Brazīlijas bankas konta piekļuvei būtiskos akreditācijas datus, izmantojot Azure mākoni kā Command-and-Control (C2) infrastruktūru. Analītiķi, kas rūpīgi pārbauda šo draudu, ir apstiprinājuši tā līdzību ar Windows balstītas AllaKore mobilās ļaunprogrammatūras pielāgotu iterāciju.
Nozīmīgās banku iestādes, uz kurām attiecas šī atklātā ofensīva, ietver Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob un Sicredi. Lai gan precīza sākotnējās piekļuves metode joprojām nav apstiprināta, norādes liecina par draudošu saišu izmantošanu pikšķerēšanas saziņā.
Satura rādītājs
Uzbrukuma ķēdes sākuma stadija, kas nodrošina AllaSenha RAT
Uzbrukums sākas ar maldinošu Windows saīsnes (LNK) failu, kas tiek uzskatīts par PDF dokumentu (“NotaFiscal.pdf.lnk”), kas tiek mitināts WebDAV serverī vismaz kopš 2024. gada marta. Turklāt ir norādes, ka šīs operācijas pamatā ir apdraudējums. iepriekš ir izmantojuši likumīgus pakalpojumus, piemēram, Autodesk A360 Drive un GitHub, lai mitinātu savas kravas.
Pēc izpildes LNK fails aktivizē Windows komandas apvalku, kas adresātam parāda viltotu PDF failu, vienlaikus ienesot LPTP lietderīgo slodzi ar nosaukumu “c.cmd” no tās pašas WebDAV servera atrašanās vietas.
Šis fails, kas pazīstams kā BPyCode palaidējs, ierosina Base64 kodētu PowerShell komandu, kas savukārt lejupielādē Python bināro failu no oficiālās vietnes www.python.org, lai izpildītu Python skriptu ar nosaukumu BPyCode.
Papildu kaitīgi rīki, kas izvietoti kā daļa no uzbrukuma
BPyCode kalpo kā lejupielādētājs dinamisko saišu bibliotēkai (executor.dll) un izpilda to atmiņā. DLL tiek iegūts no viena no domēna nosaukumiem, kas ģenerēti, izmantojot domēna ģenerēšanas algoritmu (DGA).
Šķiet, ka ģenerētie saimniekdatoru nosaukumi atbilst tiem, kas ir saistīti ar pakalpojumu Microsoft Azure Functions — bezservera infrastruktūru, kas šajā kontekstā ļauj operatoriem ērti izvietot un pagriezt savu instalācijas infrastruktūru. Sīkāk, BPyCode izgūst sālīšanas failu, kurā ir trīs vienumi: sekundārais Python ielādēja skripts, ZIP arhīvs, kurā ir PythonMemoryModule pakotne, un cits ZIP arhīvs, kurā ir “executor.dll”.
Pēc tam tiek aktivizēts jaunais Python ielādētāja skripts, lai ielādētu atmiņā 'executor.dll', Borland Delphi balstītu ļaunprogrammatūru, kas pazīstama arī kā ExecutorLoader, izmantojot PythonMemoryModule. ExecutorLoader galvenā funkcija ir AllaSenha dekodēšana un izpilde, ievadot to likumīgā mshta.exe procesā.
AllaSenha RAT ievāc upuru banku akreditācijas datus
Papildus interneta pārlūkprogrammās saglabāto tiešsaistes banku akreditācijas datu iegūšanai, AllaSenha spēj parādīt pārklājuma logus, kas ļauj uztvert divu faktoru autentifikācijas (2FA) kodus un pat piespiest upurus skenēt QR kodu, lai autorizētu uzbrucēju uzsāktu krāpniecisku darījumu. .
AllaSenha darbojas ar oriģinālo faila nosaukumu Access_PC_Client_dll.dll, kas ir īpaši saistīts ar KL Gorki projektu. Šķiet, ka šī banku ļaunprātīgā programmatūra apvieno elementus gan no AllaKore , gan no apdraudējuma, kas pazīstams kā ServerSocket.
Ar sākotnējo LNK failu un AllaSenha saistītā avota koda dziļāka pārbaude liecina, ka ļaunprātīgas programmatūras izstrādē ir jāiesaistās portugāļu valodā runājošai personai, vārdā bert1m. Tomēr pašlaik nav pierādījumu, kas liecinātu par to tiešu instrumentu darbību.
Pētnieki uzsver, ka kibernoziedznieki, kas darbojas Latīņamerikā, demonstrē ievērojamu produktivitāti, uzsākot kibernoziedzības kampaņas. Lai gan viņu galvenā uzmanība tiek pievērsta Latīņamerikas personām, lai nozagtu banku informāciju, šie dalībnieki bieži apdraud datorus, ko izmanto meitas uzņēmumi vai darbinieki visā pasaulē, jo īpaši Brazīlijā.
