ਅੱਲਾ ਸੇਨਹਾ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

ਬ੍ਰਾਜ਼ੀਲ ਦੇ ਬੈਂਕਾਂ ਨੂੰ ਇੱਕ ਨਵੇਂ ਹਮਲੇ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈ ਰਿਹਾ ਹੈ ਕਿਉਂਕਿ ਇੱਕ ਨਵੀਂ ਮੁਹਿੰਮ ਨੇ ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਨੂੰ ਅਲਾਸੇਨਹਾ ਕਿਹਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਬ੍ਰਾਜ਼ੀਲ ਦੇ ਬੈਂਕ ਖਾਤੇ ਦੀ ਪਹੁੰਚ ਲਈ ਮਹੱਤਵਪੂਰਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, Azure ਕਲਾਉਡ ਨੂੰ ਇਸਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਜੋਂ ਵਰਤਦਾ ਹੈ। ਇਸ ਖਤਰੇ ਦੀ ਜਾਂਚ ਕਰਨ ਵਾਲੇ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਵਿੰਡੋਜ਼-ਅਧਾਰਤ ਅਲਾਕੋਰ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਦੇ ਅਨੁਕੂਲਿਤ ਦੁਹਰਾਓ ਨਾਲ ਇਸਦੀ ਸਮਾਨਤਾ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ।

ਇਸ ਵਿੱਚ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਪ੍ਰਸਿੱਧ ਬੈਂਕਿੰਗ ਸੰਸਥਾਵਾਂ ਨੇ ਬੈਂਕੋ ਡੋ ਬ੍ਰਾਜ਼ੀਲ, ਬ੍ਰਾਡੇਸਕੋ, ਬੈਂਕੋ ਸਫਰਾ, ਕੈਕਸਾ ਈਕੋਨੋਮਿਕਾ ਫੈਡਰਲ, ਇਟਾਉ ਯੂਨੀਬੈਂਕੋ, ਸਿਕੂਬ ਅਤੇ ਸਿਕਰੇਡੀ ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ। ਹਾਲਾਂਕਿ ਸਹੀ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵਿਧੀ ਦੀ ਪੁਸ਼ਟੀ ਨਹੀਂ ਹੋਈ ਹੈ, ਸੰਕੇਤ ਫਿਸ਼ਿੰਗ ਸੰਚਾਰਾਂ ਦੇ ਅੰਦਰ ਧਮਕੀ ਭਰੇ ਲਿੰਕਾਂ ਦੀ ਵਰਤੋਂ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ।

ਅਲਾਸੇਨਹਾ ਆਰਏਟੀ ਪ੍ਰਦਾਨ ਕਰਨ ਵਾਲੀ ਅਟੈਕ ਚੇਨ ਦਾ ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ

ਹਮਲਾ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜੋ ਇੱਕ PDF ਦਸਤਾਵੇਜ਼ ('NotaFiscal.pdf.lnk') ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਘੱਟੋ-ਘੱਟ ਮਾਰਚ 2024 ਤੋਂ ਇੱਕ WebDAV ਸਰਵਰ 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਅਜਿਹੇ ਸੰਕੇਤ ਹਨ ਕਿ ਇਸ ਕਾਰਵਾਈ ਦੇ ਪਿੱਛੇ ਖਤਰੇ ਦੇ ਕਾਰਕ ਹਨ। ਆਪਣੇ ਪੇਲੋਡਾਂ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਲਈ ਪਹਿਲਾਂ ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਜਿਵੇਂ ਕਿ Autodesk A360 Drive ਅਤੇ GitHub ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਹੈ।

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੋਣ 'ਤੇ, LNK ਫਾਈਲ ਵਿੰਡੋਜ਼ ਕਮਾਂਡ ਸ਼ੈੱਲ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ, ਜੋ ਕਿ ਉਸੇ WebDAV ਸਰਵਰ ਟਿਕਾਣੇ ਤੋਂ 'c.cmd' ਨਾਮਕ BAT ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਨਾਲ ਹੀ ਪ੍ਰਾਪਤਕਰਤਾ ਨੂੰ ਇੱਕ ਜਾਅਲੀ PDF ਫਾਈਲ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੀ ਹੈ।

BPyCode ਲਾਂਚਰ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਹੈ, ਇਹ ਫਾਈਲ ਇੱਕ Base64-ਏਨਕੋਡਡ PowerShell ਕਮਾਂਡ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ, ਜੋ ਬਦਲੇ ਵਿੱਚ BPyCode ਨਾਮ ਦੀ ਪਾਈਥਨ ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਉਣ ਲਈ ਅਧਿਕਾਰਤ www.python.org ਸਾਈਟ ਤੋਂ ਪਾਈਥਨ ਬਾਈਨਰੀ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦੀ ਹੈ।

ਹਮਲੇ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਵਾਧੂ ਨੁਕਸਾਨਦੇਹ ਟੂਲ ਤਾਇਨਾਤ ਕੀਤੇ ਗਏ

BPyCode ਇੱਕ ਡਾਇਨਾਮਿਕ-ਲਿੰਕ ਲਾਇਬ੍ਰੇਰੀ ('executor.dll') ਲਈ ਇੱਕ ਡਾਊਨਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਉਂਦਾ ਹੈ। DLL ਇੱਕ ਡੋਮੇਨ ਜਨਰੇਸ਼ਨ ਐਲਗੋਰਿਦਮ (DGA) ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੇ ਡੋਮੇਨ ਨਾਮਾਂ ਵਿੱਚੋਂ ਇੱਕ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਤਿਆਰ ਕੀਤੇ ਹੋਸਟਨਾਮ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਅਜ਼ੂਰ ਫੰਕਸ਼ਨ ਸੇਵਾ ਨਾਲ ਜੁੜੇ ਉਹਨਾਂ ਨਾਲ ਇਕਸਾਰ ਹੁੰਦੇ ਪ੍ਰਤੀਤ ਹੁੰਦੇ ਹਨ, ਇੱਕ ਸਰਵਰ ਰਹਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਜੋ, ਇਸ ਸੰਦਰਭ ਵਿੱਚ, ਓਪਰੇਟਰਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਸਟੇਜਿੰਗ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਸੁਵਿਧਾਜਨਕ ਤੌਰ 'ਤੇ ਤਾਇਨਾਤ ਕਰਨ ਅਤੇ ਘੁੰਮਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਵਿਸਤਾਰ ਵਿੱਚ, BPyCode ਤਿੰਨ ਆਈਟਮਾਂ ਵਾਲੀ ਇੱਕ ਅਚਾਰ ਫਾਈਲ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ: ਇੱਕ ਸੈਕੰਡਰੀ ਪਾਈਥਨ ਲੋਡਰ ਸਕ੍ਰਿਪਟ, ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ਜਿਸ ਵਿੱਚ PythonMemoryModule ਪੈਕੇਜ ਹੈ ਅਤੇ ਇੱਕ ਹੋਰ ZIP ਆਰਕਾਈਵ ਜਿਸ ਵਿੱਚ 'executor.dll' ਹੈ।

ਇਸ ਤੋਂ ਬਾਅਦ, ਨਵੀਂ ਪਾਈਥਨ ਲੋਡਰ ਸਕ੍ਰਿਪਟ 'executor.dll' ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਐਕਟੀਵੇਟ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਇੱਕ ਬੋਰਲੈਂਡ ਡੇਲਫੀ-ਆਧਾਰਿਤ ਮਾਲਵੇਅਰ, ਜਿਸਨੂੰ ExecutorLoader ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, PythonMemoryModule ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੈਮੋਰੀ ਵਿੱਚ। ExecutorLoader ਦੇ ਪ੍ਰਾਇਮਰੀ ਫੰਕਸ਼ਨ ਵਿੱਚ AllaSenha ਨੂੰ ਇੱਕ ਜਾਇਜ਼ mshta.exe ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਕੇ ਡੀਕੋਡਿੰਗ ਅਤੇ ਚਲਾਉਣਾ ਸ਼ਾਮਲ ਹੈ।

The AllaSenha RAT ਪੀੜਤਾਂ ਦੇ ਬੈਂਕਿੰਗ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕਰਦਾ ਹੈ

ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਔਨਲਾਈਨ ਬੈਂਕਿੰਗ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਤੋਂ ਇਲਾਵਾ, ਅਲਾਸੇਨਹਾ ਕੋਲ ਓਵਰਲੇ ਵਿੰਡੋਜ਼ ਨੂੰ ਪੇਸ਼ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ, ਦੋ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (2FA) ਕੋਡਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤੇ ਗਏ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਟ੍ਰਾਂਜੈਕਸ਼ਨ ਨੂੰ ਅਧਿਕਾਰਤ ਕਰਨ ਲਈ ਇੱਕ QR ਕੋਡ ਨੂੰ ਸਕੈਨ ਕਰਨ ਲਈ ਪੀੜਤਾਂ ਨੂੰ ਵੀ ਮਜਬੂਰ ਕਰਦਾ ਹੈ। .

ਅਲਾਸੇਨਹਾ ਅਸਲੀ ਫਾਈਲ ਨਾਮ Access_PC_Client_dll.dll ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਦਾ ਹੈ, ਇੱਕ ਅਹੁਦਾ ਖਾਸ ਤੌਰ 'ਤੇ ਕੇਐਲ ਗੋਰਕੀ ਪ੍ਰੋਜੈਕਟ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਇਹ ਬੈਂਕਿੰਗ ਮਾਲਵੇਅਰ AllaKore ਅਤੇ ServerSocket ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਖਤਰੇ ਦੋਵਾਂ ਦੇ ਤੱਤਾਂ ਨੂੰ ਮਿਲਾ ਦਿੰਦਾ ਹੈ।

ਸ਼ੁਰੂਆਤੀ LNK ਫਾਈਲ ਨਾਲ ਜੁੜੇ ਸਰੋਤ ਕੋਡ ਦੀ ਡੂੰਘੀ ਜਾਂਚ ਅਤੇ ਅਲਾਸੇਨਹਾ ਮਾਲਵੇਅਰ ਦੇ ਵਿਕਾਸ ਵਿੱਚ bert1m ਨਾਮਕ ਇੱਕ ਪੁਰਤਗਾਲੀ ਬੋਲਣ ਵਾਲੇ ਵਿਅਕਤੀ ਦੀ ਸ਼ਮੂਲੀਅਤ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਵਰਤਮਾਨ ਵਿੱਚ ਉਹਨਾਂ ਦੇ ਸੰਦਾਂ ਦੇ ਸਿੱਧੇ ਸੰਚਾਲਨ ਨੂੰ ਦਰਸਾਉਣ ਵਾਲਾ ਕੋਈ ਸਬੂਤ ਨਹੀਂ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਉਜਾਗਰ ਕੀਤਾ ਕਿ ਲਾਤੀਨੀ ਅਮਰੀਕਾ ਵਿੱਚ ਕੰਮ ਕਰ ਰਹੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਾਈਬਰ ਅਪਰਾਧ ਮੁਹਿੰਮਾਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਉਤਪਾਦਕਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹਨ। ਹਾਲਾਂਕਿ ਉਹਨਾਂ ਦਾ ਮੁੱਖ ਫੋਕਸ ਬੈਂਕਿੰਗ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਲਈ ਲਾਤੀਨੀ ਅਮਰੀਕੀ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਿੱਚ ਹੈ, ਇਹ ਅਦਾਕਾਰ ਅਕਸਰ ਦੁਨੀਆ ਭਰ ਵਿੱਚ, ਖਾਸ ਕਰਕੇ ਬ੍ਰਾਜ਼ੀਲ ਵਿੱਚ ਸਹਾਇਕ ਕੰਪਨੀਆਂ ਜਾਂ ਕਰਮਚਾਰੀਆਂ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਕੰਪਿਊਟਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦੇ ਹਨ।