Мобильное вредоносное ПО AllaSenha
Бразильские банки столкнулись с новой атакой, поскольку новая кампания представляет трояна удаленного доступа (RAT), получившего название AllaSenha. Это вредоносное ПО предназначено для кражи учетных данных, необходимых для доступа к счету в бразильском банке, используя облако Azure в качестве инфраструктуры управления и контроля (C2). Аналитики, изучающие эту угрозу, подтвердили ее сходство с адаптированной версией мобильного вредоносного ПО AllaKore для Windows.
В число известных банковских учреждений, ставших объектом этого открытого наступления, входят Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob и Sicredi. Хотя точный метод первоначального доступа остается неподтвержденным, имеются признаки использования угрожающих ссылок в фишинговых сообщениях.
Оглавление
Начальный этап цепочки атак по доставке AllaSenha RAT
Атака начинается с обманного файла ярлыка Windows (LNK), выдающего себя за документ PDF («NotaFiscal.pdf.lnk»), размещенного на сервере WebDAV по крайней мере с марта 2024 года. Более того, есть признаки того, что за этой операцией стоят злоумышленники. ранее использовали законные сервисы, такие как Autodesk A360 Drive и GitHub, для размещения своих полезных данных.
При выполнении файл LNK запускает командную оболочку Windows, которая отображает получателю поддельный PDF-файл, а также извлекает полезную нагрузку BAT с именем «c.cmd» из того же местоположения сервера WebDAV.
Этот файл, известный как средство запуска BPyCode, инициирует команду PowerShell в кодировке Base64, которая, в свою очередь, загружает двоичный файл Python с официального сайта www.python.org для выполнения сценария Python с именем BPyCode.
Дополнительные вредоносные инструменты, используемые в рамках атаки
BPyCode служит загрузчиком библиотеки динамической компоновки («executor.dll») и выполняет ее в памяти. DLL получается из одного из доменных имен, созданных с помощью алгоритма генерации домена (DGA).
Сгенерированные имена хостов совпадают с именами, связанными со службой функций Microsoft Azure, бессерверной инфраструктурой, которая в этом контексте позволяет операторам удобно развертывать и ротировать свою промежуточную инфраструктуру. Более подробно, BPyCode извлекает файл Pickle, содержащий три элемента: вторичный сценарий загрузчика Python, ZIP-архив, содержащий пакет PythonMemoryModule, и еще один ZIP-архив, содержащий «executor.dll».
Впоследствии активируется новый скрипт-загрузчик Python для загрузки «executor.dll», вредоносной программы на основе Borland Delphi, также известной как ExecutorLoader, в память с помощью PythonMemoryModule. Основная функция ExecutorLoader включает декодирование и выполнение AllaSenha путем внедрения его в законный процесс mshta.exe.
Крыса «АллаСеньха» собирает банковские данные жертв
Помимо сбора учетных данных онлайн-банкинга, хранящихся в веб-браузерах, AllaSenha обладает возможностью отображать наложенные окна, позволяя перехватывать коды двухфакторной аутентификации (2FA) и даже принуждать жертв сканировать QR-код для авторизации мошеннической транзакции, инициированной злоумышленниками. .
AllaSenha работает под исходным именем файла Access_PC_Client_dll.dll, которое, в частности, связано с проектом КЛ Горки. Это банковское вредоносное ПО, по-видимому, объединяет элементы AllaKore и угрозы, известной как ServerSocket.
Более глубокое изучение исходного кода, связанного с исходным файлом LNK, и AllaSenha позволяет предположить участие португалоговорящего человека по имени bert1m в разработке вредоносного ПО. Однако в настоящее время нет доказательств, указывающих на их прямое действие средств.
Исследователи подчеркивают, что киберпреступники, действующие в Латинской Америке, демонстрируют заметную продуктивность в проведении кампаний по борьбе с киберпреступностью. Хотя их основная цель заключается в том, чтобы нацеливаться на физических лиц из Латинской Америки с целью кражи банковской информации, эти злоумышленники часто компрометируют компьютеры, которыми управляют дочерние компании или сотрудники по всему миру, особенно в Бразилии.
