AllaSenha Mobile Malware
Băncile braziliene se confruntă cu un nou atac pe măsură ce o nouă campanie introduce un troian de acces la distanță (RAT) numit AllaSenha. Acest malware este conceput pentru a fura acreditările esențiale pentru accesul la contul bancar brazilian, utilizând Azure cloud ca infrastructură de comandă și control (C2). Analiștii care examinează această amenințare au afirmat asemănarea acesteia cu o iterație personalizată a malware-ului mobil AllaKore bazat pe Windows.
Instituțiile bancare remarcabile vizate în această ofensivă dezvăluită includ Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob și Sicredi. În timp ce metoda precisă de acces inițial rămâne neconfirmată, indicațiile sugerează utilizarea de legături amenințătoare în cadrul comunicațiilor de tip phishing.
Cuprins
Etapa inițială a lanțului de atac care livrează AllaSenha RAT
Atacul începe cu un fișier înșelător de scurtătură Windows (LNK) care se prezintă ca un document PDF („NotaFiscal.pdf.lnk”), găzduit pe un server WebDAV din martie 2024 cel puțin. Mai mult, există indicii că actorii amenințărilor din spatele acestei operațiuni au exploatat anterior servicii legitime, cum ar fi Autodesk A360 Drive și GitHub, pentru a-și găzdui încărcăturile utile.
La execuție, fișierul LNK declanșează un shell de comandă Windows, care afișează destinatarului un fișier PDF fals, în timp ce preia o sarcină utilă BAT numită „c.cmd” din aceeași locație a serverului WebDAV.
Cunoscut ca lansatorul BPyCode, acest fișier inițiază o comandă PowerShell codificată în Base64, care, la rândul său, descarcă binarul Python de pe site-ul oficial www.python.org pentru a executa un script Python numit BPyCode.
Instrumente dăunătoare suplimentare implementate ca parte a atacului
BPyCode servește ca un program de descărcare pentru o bibliotecă de link-uri dinamice („executor.dll”) și o execută în memorie. DLL-ul este obținut de la unul dintre numele de domenii generate printr-un algoritm de generare a domeniului (DGA).
Numele de gazdă generate par să se alinieze cu cele legate de serviciul Microsoft Azure Functions, o infrastructură fără server care, în acest context, permite operatorilor să implementeze și să-și rotească în mod convenabil infrastructura de staging. În detaliu, BPyCode preia un fișier pickle care conține trei elemente: un script secundar de încărcare Python, o arhivă ZIP care conține pachetul PythonMemoryModule și o altă arhivă ZIP care conține „executor.dll”.
Ulterior, noul script de încărcare Python este activat pentru a încărca în memorie „executor.dll”, un malware bazat pe Borland Delphi, cunoscut și sub numele de ExecutorLoader, folosind PythonMemoryModule. Funcția principală a ExecutorLoader implică decodarea și executarea AllaSenha prin injectarea acestuia într-un proces legitim mshta.exe.
AllaSenha RAT recoltează acreditările bancare ale victimelor
Pe lângă colectarea acreditărilor bancare online stocate în browserele web, AllaSenha are capacitatea de a prezenta ferestre suprapuse, permițând capturarea codurilor de autentificare cu doi factori (2FA) și chiar constrângând victimele să scaneze un cod QR pentru a autoriza o tranzacție frauduloasă inițiată de atacatori. .
AllaSenha operează sub numele de fișier original Access_PC_Client_dll.dll, o denumire asociată în special cu proiectul KL Gorki. Acest malware bancar pare să reunească elemente atât din AllaKore , cât și dintr-o amenințare cunoscută sub numele de ServerSocket.
O examinare mai profundă a codului sursă legat de fișierul LNK inițial și AllaSenha sugerează implicarea unei persoane vorbitoare de portugheză pe nume bert1m în dezvoltarea malware-ului. Cu toate acestea, în prezent nu există dovezi care să indice funcționarea lor directă a instrumentelor.
Cercetătorii subliniază că infractorii cibernetici care operează în America Latină demonstrează o productivitate demnă de remarcat în lansarea campaniilor de criminalitate cibernetică. În timp ce obiectivul lor principal constă în țintirea persoanelor din America Latină pentru a fura informații bancare, acești actori compromit frecvent computerele operate de filiale sau angajați din întreaga lume, în special în Brazilia.
