Perisian Hasad Mudah Alih AllaSenha
Bank-bank Brazil menghadapi serangan baru apabila kempen baharu memperkenalkan Trojan Akses Jauh (RAT) yang digelar AllaSenha. Perisian hasad ini disesuaikan untuk mencuri bukti kelayakan yang penting untuk akses akaun bank Brazil, menggunakan awan Azure sebagai infrastruktur Perintah-dan-Kawalan (C2). Penganalisis yang meneliti ancaman ini telah mengesahkan persamaannya dengan lelaran tersuai bagi perisian hasad mudah alih AllaKore berasaskan Windows.
Institusi perbankan terkenal yang disasarkan dalam serangan yang didedahkan ini merangkumi Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob dan Sicredi. Walaupun kaedah akses awal yang tepat masih belum disahkan, petunjuk mencadangkan penggunaan pautan mengancam dalam komunikasi pancingan data.
Isi kandungan
Peringkat Awal Rantaian Serangan Menyampaikan AllaSenha RAT
Serangan bermula dengan fail pintasan Windows (LNK) yang menipu yang menyamar sebagai dokumen PDF ('NotaFiscal.pdf.lnk'), dihoskan pada pelayan WebDAV sejak sekurang-kurangnya Mac 2024. Selain itu, terdapat tanda-tanda bahawa pelaku ancaman di sebalik operasi ini sebelum ini telah mengeksploitasi perkhidmatan yang sah seperti Autodesk A360 Drive dan GitHub untuk mengehoskan muatan mereka.
Selepas pelaksanaan, fail LNK mencetuskan shell arahan Windows, yang memaparkan fail PDF palsu kepada penerima sambil turut mengambil muatan BAT bernama 'c.cmd' dari lokasi pelayan WebDAV yang sama.
Dikenali sebagai pelancar BPyCode, fail ini memulakan perintah PowerShell yang dikodkan Base64, yang seterusnya memuat turun binari Python daripada tapak www.python.org rasmi untuk melaksanakan skrip Python bernama BPyCode.
Alat Memudaratkan Tambahan Digunakan sebagai Sebahagian daripada Serangan
BPyCode berfungsi sebagai pemuat turun untuk perpustakaan pautan dinamik ('executor.dll') dan melaksanakannya dalam ingatan. DLL diperoleh daripada salah satu nama domain yang dijana melalui algoritma penjanaan domain (DGA).
Nama hos yang dijana kelihatan sejajar dengan yang dipautkan kepada perkhidmatan Microsoft Azure Functions, infrastruktur tanpa pelayan yang, dalam konteks ini, membolehkan pengendali menggunakan dan memutarkan infrastruktur pementasan mereka dengan mudah. Secara terperinci, BPyCode mendapatkan semula fail jeruk yang mengandungi tiga item: skrip pemuat Python sekunder, arkib ZIP yang mengandungi pakej PythonMemoryModule dan arkib ZIP lain yang mengandungi 'executor.dll.'
Selepas itu, skrip pemuat Python baharu diaktifkan untuk memuatkan 'executor.dll,' perisian hasad berasaskan Borland Delphi, juga dikenali sebagai ExecutorLoader, ke dalam memori menggunakan PythonMemoryModule. Fungsi utama ExecutorLoader melibatkan penyahkodan dan pelaksanaan AllaSenha dengan menyuntiknya ke dalam proses mshta.exe yang sah.
The AllaSenha RAT Mengumpul Bukti Kelayakan Perbankan Mangsa
Selain daripada mendapatkan bukti kelayakan perbankan dalam talian yang disimpan dalam penyemak imbas Web, AllaSenha mempunyai keupayaan untuk membentangkan tingkap tindanan, membolehkan penangkapan kod pengesahan dua faktor (2FA) dan juga memaksa mangsa mengimbas kod QR untuk membenarkan transaksi penipuan yang dimulakan oleh penyerang. .
AllaSenha beroperasi di bawah nama fail asal Access_PC_Client_dll.dll, sebutan yang dikaitkan dengan projek KL Gorki. Malware perbankan ini nampaknya menggabungkan unsur-unsur daripada AllaKore dan ancaman yang dikenali sebagai ServerSocket.
Pemeriksaan yang lebih mendalam terhadap kod sumber yang dikaitkan dengan fail LNK awal dan AllaSenha mencadangkan penglibatan individu berbahasa Portugis bernama bert1m dalam pembangunan perisian hasad. Walau bagaimanapun, pada masa ini tiada bukti yang menunjukkan operasi langsung alat tersebut.
Penyelidik menekankan bahawa penjenayah siber yang beroperasi di Amerika Latin menunjukkan produktiviti yang patut diberi perhatian dalam melancarkan kempen jenayah siber. Walaupun tumpuan utama mereka terletak pada menyasarkan individu Amerika Latin untuk mencuri maklumat perbankan, pelakon ini sering menjejaskan komputer yang dikendalikan oleh anak syarikat atau pekerja di seluruh dunia, terutamanya di Brazil.
