AllaSenha mobil skadelig programvare
Brasilianske banker står overfor et nytt angrep når en ny kampanje introduserer en Remote Access Trojan (RAT) kalt AllaSenha. Denne skadelige programvaren er skreddersydd for å stjele legitimasjonen som er avgjørende for tilgang til brasilianske bankkontoer, ved å bruke Azure-skyen som Command-and-Control (C2)-infrastruktur. Analytikere som gransker denne trusselen har bekreftet dens likhet med en tilpasset iterasjon av den Windows-baserte AllaKore mobile skadevare.
Bemerkelsesverdige bankinstitusjoner målrettet i denne avslørte offensiven omfatter Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob og Sicredi. Mens den nøyaktige innledende tilgangsmetoden forblir ubekreftet, tyder indikasjoner på bruk av truende lenker innen phishing-kommunikasjon.
Innholdsfortegnelse
Den innledende fasen av angrepskjeden som leverer AllaSenha RAT
Angrepet starter med en villedende Windows-snarvei (LNK)-fil som utgir seg for å være et PDF-dokument ('NotaFiscal.pdf.lnk'), hostet på en WebDAV-server siden minst mars 2024. Dessuten er det indikasjoner på at trusselaktørene bak denne operasjonen har tidligere utnyttet legitime tjenester som Autodesk A360 Drive og GitHub for å være vert for nyttelastene deres.
Ved kjøring utløser LNK-filen et Windows-kommandoskall, som viser en falsk PDF-fil til mottakeren samtidig som den henter en BAT-nyttelast kalt 'c.cmd' fra samme WebDAV-serverplassering.
Denne filen, kjent som BPyCode-starteren, starter en Base64-kodet PowerShell-kommando, som igjen laster ned Python-binæren fra det offisielle nettstedet www.python.org for å utføre et Python-skript kalt BPyCode.
Ytterligere skadelige verktøy utplassert som en del av angrepet
BPyCode fungerer som en nedlaster for et dynamisk koblingsbibliotek ('executor.dll') og kjører det i minnet. DLL-en er hentet fra et av domenenavnene generert via en domenegenereringsalgoritme (DGA).
De genererte vertsnavnene ser ut til å være på linje med de som er koblet til Microsoft Azure Functions-tjenesten, en serverløs infrastruktur som i denne sammenhengen gjør det mulig for operatører å enkelt distribuere og rotere sin iscenesettelsesinfrastruktur. I detalj henter BPyCode en pickle-fil som inneholder tre elementer: et sekundært Python-lasterskript, et ZIP-arkiv som inneholder PythonMemoryModule-pakken og et annet ZIP-arkiv som inneholder 'executor.dll.'
Deretter aktiveres det nye Python-lasterskriptet for å laste 'executor.dll', en Borland Delphi-basert skadelig programvare, også kjent som ExecutorLoader, inn i minnet ved hjelp av PythonMemoryModule. ExecutorLoaders primære funksjon innebærer å dekode og utføre AllaSenha ved å injisere den i en legitim mshta.exe-prosess.
AllaSenha RAT høster ofrenes bankopplysninger
Bortsett fra å hente inn nettbanklegitimasjon som er lagret i nettlesere, har AllaSenha muligheten til å presentere overleggsvinduer, som muliggjør fangst av tofaktorautentiseringskoder (2FA) og til og med tvinge ofre til å skanne en QR-kode for å autorisere en uredelig transaksjon initiert av angriperne .
AllaSenha opererer under det originale filnavnet Access_PC_Client_dll.dll, en betegnelse som særlig er knyttet til KL Gorki-prosjektet. Denne bankskadevare ser ut til å slå sammen elementer fra både AllaKore og en trussel kjent som ServerSocket.
Dypere gransking av kildekoden knyttet til den første LNK-filen og AllaSenha foreslår involvering av en portugisisktalende person ved navn bert1m i utviklingen av skadelig programvare. Imidlertid er det foreløpig ingen bevis som indikerer deres direkte drift av verktøyene.
Forskere fremhever at nettkriminelle som opererer i Latin-Amerika viser bemerkelsesverdig produktivitet når de lanserer nettkriminalitetskampanjer. Mens deres primære fokus ligger i å målrette latinamerikanske individer for å stjele bankinformasjon, kompromitterer disse aktørene ofte datamaskiner som drives av datterselskaper eller ansatte over hele verden, spesielt i Brasil.
