Złośliwe oprogramowanie mobilne AllaSenha
Brazylijskie banki stają w obliczu nowego ataku w związku z wprowadzeniem w ramach nowej kampanii trojana zdalnego dostępu (RAT) o nazwie AllaSenha. To złośliwe oprogramowanie jest zaprojektowane w celu kradzieży danych uwierzytelniających niezbędnych do uzyskania dostępu do brazylijskiego konta bankowego, wykorzystując chmurę Azure jako infrastrukturę dowodzenia i kontroli (C2). Analitycy analizujący to zagrożenie potwierdzili jego podobieństwo do dostosowanej wersji mobilnego szkodliwego oprogramowania AllaKore dla systemu Windows.
Znane instytucje bankowe będące celem tej ujawnionej ofensywy to Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob i Sicredi. Chociaż dokładna metoda początkowego dostępu pozostaje niepotwierdzona, wiele wskazuje na to, że w komunikacji phishingowej wykorzystywane są groźne linki.
Spis treści
Początkowy etap łańcucha ataku dostarczającego AllaSenha RAT
Atak rozpoczyna się od zwodniczego pliku skrótu systemu Windows (LNK) udającego dokument PDF („NotaFiscal.pdf.lnk”), przechowywanego na serwerze WebDAV co najmniej od marca 2024 r. Co więcej, istnieją przesłanki, że osoby odpowiedzialne za tę operację korzystali wcześniej z legalnych usług, takich jak Autodesk A360 Drive i GitHub, do hostowania swoich ładunków.
Po wykonaniu plik LNK uruchamia powłokę poleceń systemu Windows, która wyświetla odbiorcy fałszywy plik PDF, a jednocześnie pobiera ładunek BAT o nazwie „c.cmd” z tej samej lokalizacji serwera WebDAV.
Plik ten, znany jako program uruchamiający BPyCode, inicjuje polecenie PowerShell zakodowane w formacie Base64, które z kolei pobiera plik binarny Pythona z oficjalnej witryny www.python.org w celu wykonania skryptu Pythona o nazwie BPyCode.
Dodatkowe szkodliwe narzędzia użyte w ramach ataku
BPyCode służy jako downloader biblioteki dołączanej dynamicznie („executor.dll”) i uruchamia ją w pamięci. Biblioteka DLL jest uzyskiwana z jednej z nazw domen generowanych za pomocą algorytmu generowania domeny (DGA).
Wygenerowane nazwy hostów wydają się być zgodne z nazwami połączonymi z usługą Microsoft Azure Functions, infrastrukturą bezserwerową, która w tym kontekście umożliwia operatorom wygodne wdrażanie i rotację infrastruktury tymczasowej. Mówiąc szczegółowo, BPyCode pobiera plik pickle zawierający trzy elementy: dodatkowy skrypt ładujący Pythona, archiwum ZIP zawierające pakiet PythonMemoryModule i kolejne archiwum ZIP zawierające plik „executor.dll”.
Następnie aktywowany jest nowy skrypt modułu ładującego Pythona w celu załadowania „executor.dll”, szkodliwego oprogramowania opartego na Borland Delphi, znanego również jako ExecutorLoader, do pamięci przy użyciu modułu PythonMemoryModule. Podstawowa funkcja ExecutorLoader polega na dekodowaniu i wykonywaniu AllaSenha poprzez wstrzyknięcie go do legalnego procesu mshta.exe.
AllaSenha RAT zbiera dane uwierzytelniające ofiary z konta bankowego
Oprócz zbierania danych uwierzytelniających do bankowości internetowej przechowywanych w przeglądarkach internetowych, AllaSenha może wyświetlać nakładane okna, umożliwiając przechwytywanie kodów uwierzytelniania dwuskładnikowego (2FA), a nawet zmuszanie ofiar do zeskanowania kodu QR w celu autoryzacji oszukańczej transakcji zainicjowanej przez atakujących .
AllaSenha działa pod oryginalną nazwą pliku Access_PC_Client_dll.dll, która jest szczególnie kojarzona z projektem KL Gorki. To szkodliwe oprogramowanie bankowe wydaje się łączyć elementy AllaKore i zagrożenia znanego jako ServerSocket.
Dokładniejsza analiza kodu źródłowego powiązanego z pierwotnym plikiem LNK i AllaSenha sugeruje udział w rozwoju szkodliwego oprogramowania portugalskojęzycznej osoby o nazwisku bert1m. Jednakże obecnie brak jest dowodów wskazujących na bezpośrednie działanie tych narzędzi.
Badacze podkreślają, że cyberprzestępcy działający w Ameryce Łacińskiej wykazują godną uwagi produktywność w uruchamianiu kampanii cyberprzestępczych. Chociaż ich głównym celem jest atakowanie osób z Ameryki Łacińskiej w celu kradzieży informacji bankowych, podmioty te często atakują komputery obsługiwane przez spółki zależne lub pracowników na całym świecie, szczególnie w Brazylii.
