AllaSenha Mobile Malware
Brazílske banky čelia novému náporu, keďže nová kampaň predstavuje trójsky kôň pre vzdialený prístup (RAT) s názvom AllaSenha. Tento malvér je prispôsobený na odcudzenie prihlasovacích údajov dôležitých pre prístup k brazílskemu bankovému účtu a využíva cloud Azure ako svoju infraštruktúru Command-and-Control (C2). Analytici, ktorí skúmajú túto hrozbu, potvrdili jej podobnosť s prispôsobenou iteráciou mobilného malvéru AllaKore založeného na systéme Windows.
Pozoruhodné bankové inštitúcie, na ktoré sa táto odhalená ofenzíva zameriava, zahŕňajú Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob a Sicredi. Zatiaľ čo presná počiatočná metóda prístupu zostáva nepotvrdená, náznaky naznačujú použitie ohrozujúcich odkazov v rámci phishingovej komunikácie.
Obsah
Počiatočná fáza reťazca útoku prináša AllaSenha RAT
Útok sa začína klamným súborom skratky Windows (LNK), ktorý sa vydáva za dokument PDF („NotaFiscal.pdf.lnk“), ktorý je hosťovaný na serveri WebDAV minimálne od marca 2024. Okrem toho existujú náznaky, že za touto operáciou stoja aktéri hrozby už predtým využívali legitímne služby, ako sú Autodesk A360 Drive a GitHub, na hosťovanie svojich dát.
Po spustení súbor LNK spustí príkazový shell systému Windows, ktorý príjemcovi zobrazí falošný súbor PDF a zároveň načíta obsah BAT s názvom „c.cmd“ z rovnakého umiestnenia servera WebDAV.
Tento súbor, známy ako spúšťač BPyCode, spúšťa príkaz PowerShell zakódovaný v Base64, ktorý na oplátku stiahne binárny súbor Python z oficiálnej stránky www.python.org na spustenie skriptu Python s názvom BPyCode.
Ďalšie škodlivé nástroje nasadené ako súčasť útoku
BPyCode slúži ako downloader pre dynamicky linkovanú knižnicu ('executor.dll') a spúšťa ju v pamäti. DLL sa získava z jedného z názvov domén vygenerovaných pomocou algoritmu generovania domény (DGA).
Zdá sa, že vygenerované názvy hostiteľov sa zhodujú s tými, ktoré sú prepojené so službou Microsoft Azure Functions, čo je infraštruktúra bez servera, ktorá v tomto kontexte umožňuje operátorom pohodlne nasadzovať a otáčať svoju fázovú infraštruktúru. Podrobne, BPyCode načítava pickle súbor obsahujúci tri položky: sekundárny skript nakladača Pythonu, archív ZIP obsahujúci balík PythonMemoryModule a ďalší archív ZIP obsahujúci 'executor.dll'.
Následne sa aktivuje nový zavádzací skript Pythonu, ktorý pomocou PythonMemoryModule načíta do pamäte 'executor.dll', malvér založený na Borland Delphi, tiež známy ako ExecutorLoader. Primárna funkcia ExecutorLoader zahŕňa dekódovanie a spustenie AllaSenha jej vložením do legitímneho procesu mshta.exe.
AllaSenha RAT zbiera bankové poverenia obetí
Okrem získavania poverení online bankovníctva uložených vo webových prehliadačoch má AllaSenha schopnosť prezentovať prekryvné okná, čo umožňuje zachytiť kódy dvojfaktorovej autentifikácie (2FA) a dokonca prinútiť obete, aby naskenovali QR kód a autorizovali podvodnú transakciu iniciovanú útočníkmi. .
AllaSenha funguje pod pôvodným názvom súboru Access_PC_Client_dll.dll, čo je označenie spojené najmä s projektom KL Gorki. Zdá sa, že tento bankový malvér spája prvky z AllaKore a hrozby známej ako ServerSocket.
Hlbšie preskúmanie zdrojového kódu spojeného s pôvodným súborom LNK a AllaSenha naznačuje zapojenie portugalsky hovoriaceho jednotlivca menom bert1m do vývoja malvéru. V súčasnosti však neexistujú žiadne dôkazy, ktoré by naznačovali ich priame fungovanie nástrojov.
Výskumníci zdôrazňujú, že počítačoví zločinci pôsobiaci v Latinskej Amerike preukazujú pozoruhodnú produktivitu pri spúšťaní kampaní proti počítačovej kriminalite. Zatiaľ čo ich primárne zameranie spočíva v zacielení na jednotlivcov z Latinskej Ameriky, aby ukradli bankové informácie, títo aktéri často kompromitujú počítače prevádzkované dcérskymi spoločnosťami alebo zamestnancami po celom svete, najmä v Brazílii.
