AllaSenha मोबाइल मालवेयर

ब्राजिलका बैंकहरूले नयाँ आक्रमणको सामना गरिरहेका छन् किनकि एउटा नयाँ अभियानले अल्लासेन्हा डब गरिएको रिमोट एक्सेस ट्रोजन (आरएटी) प्रस्तुत गर्दछ। यो मालवेयर ब्राजिलियन बैंक खाता पहुँचको लागि महत्त्वपूर्ण प्रमाणहरू चुहाउनको लागि अनुकूल छ, Azure क्लाउडलाई यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधारको रूपमा प्रयोग गर्दै। यस खतराको छानबिन गर्ने विश्लेषकहरूले विन्डोज-आधारित AllaKore मोबाइल मालवेयरको अनुकूलित पुनरावृत्तिसँग यसको समानता पुष्टि गरेका छन्।

यसमा लक्षित गरिएका उल्लेखनीय बैंकिङ संस्थाहरूले बान्को डो ब्राजिल, ब्राडेस्को, बान्को सफारा, कैक्सा इकोनोमिका फेडरल, इटाउ युनिबान्को, सिकुब र सिक्रेडीलाई समेटेका छन्। जबकि सटीक प्रारम्भिक पहुँच विधि अपुष्ट रहन्छ, संकेतहरूले फिसिङ संचार भित्र धम्की दिने लिङ्कहरूको उपयोगको सुझाव दिन्छ।

अल्लासेन्हा RAT डेलिभर गर्ने आक्रमण श्रृंखलाको प्रारम्भिक चरण

कम्तिमा मार्च २०२४ देखि WebDAV सर्भरमा होस्ट गरिएको PDF कागजात ('NotaFiscal.pdf.lnk') को रूपमा प्रस्तुत गरिएको भ्रामक विन्डोज सर्टकट (LNK) फाइलबाट आक्रमण सुरु हुन्छ। यसबाहेक, यस अपरेशनको पछाडि खतरा कारकहरू रहेको संकेतहरू छन्। पहिले तिनीहरूको पेलोडहरू होस्ट गर्न Autodesk A360 Drive र GitHub जस्ता वैध सेवाहरूको शोषण गरेको छ।

कार्यान्वयनमा, LNK फाइलले Windows कमाण्ड शेललाई ट्रिगर गर्दछ, जसले प्राप्तकर्तालाई नक्कली PDF फाइल प्रदर्शन गर्दछ जबकि उही WebDAV सर्भर स्थानबाट 'c.cmd' नामक BAT पेलोड पनि ल्याउँछ।

BPyCode लन्चरको रूपमा परिचित, यो फाइलले Base64-encoded PowerShell आदेश सुरु गर्छ, जसले BPyCode नामको पाइथन स्क्रिप्ट कार्यान्वयन गर्न आधिकारिक www.python.org साइटबाट पाइथन बाइनरी डाउनलोड गर्छ।

आक्रमणको भागको रूपमा थप हानिकारक उपकरणहरू प्रयोग गरियो

BPyCode ले डायनामिक-लिङ्क लाइब्रेरी ('executor.dll') को लागि डाउनलोडरको रूपमा कार्य गर्दछ र यसलाई मेमोरीमा कार्यान्वयन गर्दछ। DLL डोमेन जेनेरेशन एल्गोरिथ्म (DGA) मार्फत उत्पन्न डोमेन नाम मध्ये एकबाट प्राप्त गरिन्छ।

उत्पन्न गरिएका होस्टनामहरू Microsoft Azure Functions सेवासँग जोडिएकाहरूसँग पङ्क्तिबद्ध देखिन्छ, एक सर्भरविहीन पूर्वाधार जसले, यस सन्दर्भमा, अपरेटरहरूलाई तिनीहरूको स्टेजिङ पूर्वाधारलाई सुविधाजनक रूपमा प्रयोग गर्न र घुमाउन सक्षम बनाउँछ। विस्तृत रूपमा, BPyCode ले तीन वस्तुहरू समावेश भएको एउटा अचार फाइल पुन: प्राप्त गर्दछ: माध्यमिक पाइथन लोडर लिपि, PythonMemoryModule प्याकेज भएको ZIP अभिलेख र 'executor.dll' भएको अर्को ZIP अभिलेख।

त्यसपछि, PythonMemoryModule प्रयोग गरेर मेमोरीमा Executor.dll बोर्ल्यान्ड डेल्फी-आधारित मालवेयर, जसलाई ExecutorLoader पनि भनिन्छ, लोड गर्न नयाँ पाइथन लोडर स्क्रिप्ट सक्रिय हुन्छ। ExecutorLoader को प्राथमिक प्रकार्यले अल्लासेन्हालाई वैध mshta.exe प्रक्रियामा इन्जेक्सन गरेर डिकोडिङ र कार्यान्वयन गर्दछ।

AllaSenha RAT ले पीडितहरूको बैंकिङ प्रमाणहरू काट्छ

वेब ब्राउजरहरूमा भण्डारण गरिएका अनलाइन बैंकिङ प्रमाणहरू सङ्कलन गर्ने बाहेक, अल्लासेन्हासँग ओभरले विन्डोजहरू प्रस्तुत गर्ने क्षमता छ, दुई-फ्याक्टर प्रमाणीकरण (2FA) कोडहरू खिच्न सक्षम पार्दै र आक्रमणकारीहरूले सुरु गरेको जालसाजी कारोबारलाई आधिकारिक बनाउन पीडितहरूलाई QR कोड स्क्यान गर्न बाध्य पार्ने क्षमता पनि छ। ।

AllaSenha मूल फाइल नाम Access_PC_Client_dll.dll अन्तर्गत सञ्चालन गर्दछ, विशेष रूपमा केएल गोर्की परियोजनासँग सम्बन्धित पद। यो बैंकिङ मालवेयरले AllaKore र ServerSocket भनेर चिनिने खतरा दुवैबाट तत्वहरू मिलाउन देखिन्छ।

प्रारम्भिक LNK फाइलसँग लिङ्क गरिएको स्रोत कोडको गहिरो जाँच र अल्लासेन्हाले मालवेयरको विकासमा bert1m नामको पोर्तुगाली-भाषी व्यक्तिको संलग्नताको सुझाव दिन्छ। यद्यपि, हाल तिनीहरूको उपकरणको प्रत्यक्ष सञ्चालनलाई संकेत गर्ने कुनै प्रमाण छैन।

ल्याटिन अमेरिकामा सक्रिय साइबर अपराधीहरूले साइबर अपराध अभियानहरू सुरु गर्न उल्लेखनीय उत्पादकता देखाउँछन् भनेर अन्वेषकहरूले हाइलाइट गर्छन्। जबकि तिनीहरूको प्राथमिक फोकस ल्याटिन अमेरिकी व्यक्तिहरूलाई बैंकिङ जानकारी चोर्नको लागि लक्षित गर्नमा रहेको छ, यी अभिनेताहरूले प्रायः विश्वव्यापी रूपमा, विशेष गरी ब्राजिलमा सहायक कम्पनीहरू वा कर्मचारीहरूद्वारा सञ्चालित कम्प्युटरहरूमा सम्झौता गर्छन्।