AllaSenha mobiele malware
Braziliaanse banken worden geconfronteerd met een nieuwe aanval nu een nieuwe campagne een Remote Access Trojan (RAT) introduceert, genaamd AllaSenha. Deze malware is op maat gemaakt om de inloggegevens te stelen die cruciaal zijn voor toegang tot Braziliaanse bankrekeningen, waarbij gebruik wordt gemaakt van de Azure-cloud als Command-and-Control (C2)-infrastructuur. Analisten die deze dreiging onder de loep hebben genomen, hebben de gelijkenis bevestigd met een aangepaste versie van de op Windows gebaseerde mobiele malware AllaKore.
Bekende bankinstellingen die het doelwit zijn van dit onthulde offensief zijn onder meer Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob en Sicredi. Hoewel de precieze initiële toegangsmethode nog niet is bevestigd, wijzen er aanwijzingen op het gebruik van bedreigende links binnen phishing-communicatie.
Inhoudsopgave
De eerste fase van de aanvalsketen die AllaSenha RAT oplevert
De aanval begint met een misleidend Windows-snelkoppelingsbestand (LNK) dat zich voordoet als een PDF-document ('NotaFiscal.pdf.lnk'), dat sinds maart 2024 op een WebDAV-server wordt gehost. Bovendien zijn er aanwijzingen dat de bedreigingsactoren achter deze operatie hebben eerder legitieme services zoals Autodesk A360 Drive en GitHub misbruikt om hun payloads te hosten.
Bij uitvoering activeert het LNK-bestand een Windows-opdrachtshell, die een nep-PDF-bestand aan de ontvanger weergeeft en tegelijkertijd een BAT-payload met de naam 'c.cmd' ophaalt van dezelfde WebDAV-serverlocatie.
Dit bestand staat bekend als de BPyCode-launcher en initieert een Base64-gecodeerde PowerShell-opdracht, die op zijn beurt het Python-binaire bestand downloadt van de officiële www.python.org-site om een Python-script met de naam BPyCode uit te voeren.
Extra schadelijke hulpmiddelen ingezet als onderdeel van de aanval
BPyCode dient als downloader voor een dynamic-link-bibliotheek ('executor.dll') en voert deze uit in het geheugen. De DLL wordt verkregen van een van de domeinnamen die zijn gegenereerd via een domeingeneratie-algoritme (DGA).
De gegenereerde hostnamen lijken overeen te komen met de namen die zijn gekoppeld aan de Microsoft Azure Functions-service, een serverloze infrastructuur die operators in deze context in staat stelt hun staging-infrastructuur gemakkelijk in te zetten en te roteren. In detail haalt BPyCode een pickle-bestand op dat drie items bevat: een secundair Python-loaderscript, een ZIP-archief met het PythonMemoryModule-pakket en een ander ZIP-archief met 'executor.dll'.
Vervolgens wordt het nieuwe Python loader-script geactiveerd om 'executor.dll', een op Borland Delphi gebaseerde malware, ook bekend als ExecutorLoader, in het geheugen te laden met behulp van PythonMemoryModule. De primaire functie van ExecutorLoader omvat het decoderen en uitvoeren van AllaSenha door het in een legitiem mshta.exe-proces te injecteren.
De AllaSenha RAT verzamelt de bankgegevens van slachtoffers
Naast het verzamelen van inloggegevens voor online bankieren die zijn opgeslagen in webbrowsers, beschikt AllaSenha over de mogelijkheid om overlay-vensters te presenteren, waardoor tweefactorauthenticatiecodes (2FA) kunnen worden vastgelegd en slachtoffers zelfs kunnen worden gedwongen een QR-code te scannen om een frauduleuze transactie te autoriseren die door de aanvallers is geïnitieerd. .
AllaSenha opereert onder de oorspronkelijke bestandsnaam Access_PC_Client_dll.dll, een aanduiding die met name verband houdt met het KL Gorki-project. Deze bankmalware lijkt elementen van zowel AllaKore als een bedreiging die bekend staat als ServerSocket samen te voegen.
Nader onderzoek van de broncode die aan het oorspronkelijke LNK-bestand is gekoppeld, wijst erop dat AllaSenha de betrokkenheid van een Portugeessprekende persoon genaamd bert1m bij de ontwikkeling van de malware suggereert. Er is momenteel echter geen bewijs dat de directe werking van de instrumenten aangeeft.
Onderzoekers benadrukken dat cybercriminelen die actief zijn in Latijns-Amerika een opmerkelijke productiviteit vertonen bij het lanceren van cybercriminaliteitscampagnes. Hoewel hun primaire focus ligt op het aanvallen van Latijns-Amerikaanse individuen om bankgegevens te stelen, compromitteren deze actoren vaak computers die worden beheerd door dochterondernemingen of werknemers over de hele wereld, vooral in Brazilië.
