Zlonamerna programska oprema za mobilne naprave AllaSenha
Brazilske banke se soočajo z novim napadom, saj nova kampanja predstavlja trojanca za oddaljeni dostop (RAT), imenovanega AllaSenha. Ta zlonamerna programska oprema je prilagojena za krajo poverilnic, ki so ključne za dostop do brazilskega bančnega računa, pri čemer uporablja oblak Azure kot svojo infrastrukturo za upravljanje in nadzor (C2). Analitiki, ki preučujejo to grožnjo, so potrdili njeno podobnost s prilagojeno ponovitvijo mobilne zlonamerne programske opreme AllaKore, ki temelji na sistemu Windows.
Pomembne bančne institucije, tarče te razkrite ofenzive, vključujejo Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob in Sicredi. Medtem ko natančna začetna metoda dostopa ostaja nepotrjena, indici kažejo na uporabo grozečih povezav v komunikaciji lažnega predstavljanja.
Kazalo
Začetna faza verige napadov, ki prinaša AllaSenha RAT
Napad se začne z goljufivo datoteko Windows bližnjice (LNK), ki se predstavlja kot dokument PDF ('NotaFiscal.pdf.lnk'), ki gostuje na strežniku WebDAV vsaj od marca 2024. Poleg tega obstajajo znaki, da akterji groženj stojijo za to operacijo. so pred tem izkoriščali zakonite storitve, kot sta Autodesk A360 Drive in GitHub, za gostovanje svojih tovorov.
Po izvedbi datoteka LNK sproži ukazno lupino Windows, ki prejemniku prikaže ponarejeno datoteko PDF, hkrati pa pridobi koristni tovor BAT z imenom 'c.cmd' z iste lokacije strežnika WebDAV.
Ta datoteka, znana kot zaganjalnik BPyCode, sproži ukaz PowerShell, kodiran z Base64, ki nato prenese binarno datoteko Python z uradnega mesta www.python.org za izvedbo skripta Python z imenom BPyCode.
Dodatna škodljiva orodja, uporabljena kot del napada
BPyCode služi kot prenosnik za dinamično povezovalno knjižnico ('executor.dll') in jo izvaja v pomnilniku. DLL je pridobljen iz enega od imen domen, ustvarjenih z algoritmom za generiranje domen (DGA).
Zdi se, da se ustvarjena imena gostiteljev ujemajo s tistimi, ki so povezana s storitvijo Microsoft Azure Functions, infrastrukturo brez strežnika, ki v tem kontekstu operaterjem omogoča priročno uvajanje in rotacijo njihove uprizoritvene infrastrukture. Podrobneje BPyCode pridobi datoteko pickle, ki vsebuje tri elemente: sekundarni nalagalni skript Python, arhiv ZIP, ki vsebuje paket PythonMemoryModule, in drugi arhiv ZIP, ki vsebuje »executor.dll«.
Pozneje se aktivira nov skript nalagalnika Python za nalaganje 'executor.dll', zlonamerne programske opreme, ki temelji na Borland Delphi, znane tudi kot ExecutorLoader, v pomnilnik z uporabo PythonMemoryModule. Primarna funkcija ExecutorLoaderja vključuje dekodiranje in izvajanje AllaSenha z vstavitvijo v zakonit proces mshta.exe.
AllaSenha RAT pobere bančne poverilnice žrtev
Poleg zbiranja poverilnic spletnega bančništva, shranjenih v spletnih brskalnikih, ima AllaSenha zmožnost predstavitve prekrivnih oken, kar omogoča zajem kod dvofaktorske avtentikacije (2FA) in celo prisili žrtve, da skenirajo kodo QR, da odobrijo goljufivo transakcijo, ki jo sprožijo napadalci. .
AllaSenha deluje pod izvirnim imenom datoteke Access_PC_Client_dll.dll, oznako, ki je zlasti povezana s projektom KL Gorki. Zdi se, da ta bančna zlonamerna programska oprema združuje elemente iz AllaKore in grožnje, znane kot ServerSocket.
Poglobljeni pregled izvorne kode, povezane z začetno datoteko LNK in AllaSenha, kaže na vpletenost portugalsko govoreče osebe z imenom bert1m pri razvoju zlonamerne programske opreme. Vendar trenutno ni dokazov, ki bi kazali na njihovo neposredno delovanje orodij.
Raziskovalci poudarjajo, da kiberkriminalci, ki delujejo v Latinski Ameriki, izkazujejo omembe vredno produktivnost pri zagonu kampanj kibernetske kriminalitete. Medtem ko je njihov glavni poudarek na ciljanju latinskoameriških posameznikov za krajo bančnih informacij, ti akterji pogosto ogrožajo računalnike, ki jih upravljajo podružnice ali zaposleni po vsem svetu, zlasti v Braziliji.
