Malware Mobile AllaSenha
Bankat braziliane po përballen me një sulm të ri pasi një fushatë e re prezanton një Trojan të Qasjes në Distanca (RAT) të quajtur AllaSenha. Ky malware është përshtatur për të grabitur kredencialet thelbësore për aksesin në llogarinë bankare braziliane, duke përdorur renë Azure si infrastrukturën e saj Command-and-Control (C2). Analistët që shqyrtojnë këtë kërcënim kanë pohuar ngjashmërinë e tij me një përsëritje të personalizuar të malware celular AllaKore me bazë Windows.
Institucionet e shquara bankare të synuara në këtë ofensivë të zbuluar përfshijnë Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob dhe Sicredi. Ndërsa metoda e saktë e hyrjes fillestare mbetet e pakonfirmuar, indikacionet sugjerojnë përdorimin e lidhjeve kërcënuese brenda komunikimeve phishing.
Tabela e Përmbajtjes
Faza fillestare e zinxhirit të sulmit që jep AllaSenha RAT
Sulmi fillon me një skedar mashtrues të shkurtoreve të Windows (LNK) që paraqitet si një dokument PDF ('NotaFiscal.pdf.lnk'), i vendosur në një server WebDAV që të paktën që nga marsi 2024. Për më tepër, ka indikacione se aktorët e kërcënimit që qëndrojnë pas këtij operacioni kanë shfrytëzuar më parë shërbime të ligjshme si Autodesk A360 Drive dhe GitHub për të pritur ngarkesat e tyre.
Pas ekzekutimit, skedari LNK aktivizon një guaskë komanduese të Windows, e cila shfaq një skedar PDF të rremë tek marrësi, ndërsa merr gjithashtu një ngarkesë BAT të quajtur 'c.cmd' nga e njëjta vendndodhje e serverit WebDAV.
I njohur si lëshuesi BPyCode, ky skedar fillon një komandë PowerShell të koduar nga Base64, e cila nga ana tjetër shkarkon binarin e Python nga faqja zyrtare www.python.org për të ekzekutuar një skript Python të quajtur BPyCode.
Mjete shtesë të dëmshme të vendosura si pjesë e sulmit
BPyCode shërben si një shkarkues për një bibliotekë me lidhje dinamike ('executor.dll') dhe e ekzekuton atë në memorie. DLL merret nga një prej emrave të domeneve të gjeneruar nëpërmjet një algoritmi të gjenerimit të domenit (DGA).
Emrat e gjeneruar të pritësve duket se përputhen me ato të lidhura me shërbimin Microsoft Azure Functions, një infrastrukturë pa server që, në këtë kontekst, u mundëson operatorëve të vendosin dhe rrotullojnë lehtësisht infrastrukturën e tyre të vendosjes. Në mënyrë të detajuar, BPyCode merr një skedar turshi që përmban tre artikuj: një skript dytësor të ngarkuesit të Python, një arkiv ZIP që përmban paketën PythonMemoryModule dhe një arkiv tjetër ZIP që përmban 'executor.dll'.
Më pas, skripti i ri i ngarkuesit Python aktivizohet për të ngarkuar 'executor.dll', një malware me bazë Borland Delphi, i njohur gjithashtu si ExecutorLoader, në memorie duke përdorur PythonMemoryModule. Funksioni kryesor i ExecutorLoader përfshin dekodimin dhe ekzekutimin e AllaSenha duke e injektuar atë në një proces legjitim mshta.exe.
AllaSenha RAT mbledh kredencialet bankare të viktimave
Përveç mbledhjes së kredencialeve bankare në internet të ruajtura në shfletues të internetit, AllaSenha posedon aftësinë për të paraqitur dritare mbivendosje, duke mundësuar kapjen e kodeve të vërtetimit me dy faktorë (2FA) dhe madje duke i detyruar viktimat të skanojnë një kod QR për të autorizuar një transaksion mashtrues të inicuar nga sulmuesit. .
AllaSenha operon me emrin origjinal të skedarit Access_PC_Client_dll.dll, një emërtim i lidhur veçanërisht me projektin KL Gorki. Ky malware bankar duket se bashkon elemente si nga AllaKore ashtu edhe nga një kërcënim i njohur si ServerSocket.
Një shqyrtim më i thellë i kodit burimor të lidhur me skedarin fillestar LNK dhe AllaSenha sugjeron përfshirjen e një individi që flet portugalisht i quajtur bert1m në zhvillimin e malware. Megjithatë, aktualisht nuk ka asnjë provë që tregon funksionimin e tyre të drejtpërdrejtë të mjeteve.
Studiuesit theksojnë se kriminelët kibernetikë që veprojnë në Amerikën Latine demonstrojnë produktivitet të dukshëm në nisjen e fushatave të krimit kibernetik. Ndërsa fokusi i tyre kryesor qëndron në shënjestrimin e individëve të Amerikës Latine për të vjedhur informacionin bankar, këta aktorë shpesh komprometojnë kompjuterët e operuar nga filialet ose punonjësit në mbarë botën, veçanërisht në Brazil.
