АллаСенха Мобиле Малваре
Бразилске банке се суочавају са новим нападом јер нова кампања уводи тројанац за даљински приступ (РАТ) назван АллаСенха. Овај малвер је скројен да краде акредитиве кључне за приступ бразилском банковном рачуну, користећи Азуре облак као своју инфраструктуру за команду и контролу (Ц2). Аналитичари који истражују ову претњу потврдили су њену сличност са прилагођеном итерацијом АллаКоре мобилног малвера заснованог на Виндовс-у.
Значајне банкарске институције на мети ове откривене офанзиве обухватају Банцо до Брасил, Брадесцо, Банцо Сафра, Цаика Ецономица Федерал, Итау Унибанцо, Сицооб и Сицреди. Иако је прецизна метода почетног приступа још увек непотврђена, индиције указују на коришћење претећих веза у пхисхинг комуникацијама.
Преглед садржаја
Почетна фаза ланца напада који испоручује АллаСенха РАТ
Напад почиње обмањујућим фајлом Виндовс пречице (ЛНК) који се представља као ПДФ документ ('НотаФисцал.пдф.лнк'), који се налази на ВебДАВ серверу најмање од марта 2024. Штавише, постоје индиције да су актери претњи иза ове операције су раније користили легитимне услуге као што су Аутодеск А360 Дриве и ГитХуб за хостовање својих корисних података.
Након извршења, ЛНК датотека покреће Виндовс командну љуску, која примаоцу приказује лажну ПДФ датотеку, док такође преузима БАТ корисни терет под називом 'ц.цмд' са исте локације ВебДАВ сервера.
Позната као покретач БПиЦоде, ова датотека покреће Басе64 кодирану ПоверСхелл команду, која заузврат преузима Питхон бинарну датотеку са званичног сајта ввв.питхон.орг да би извршила Питхон скрипту под називом БПиЦоде.
Додатни штетни алати примењени као део напада
БПиЦоде служи као преузимач за библиотеку са динамичким везама ('екецутор.длл') и извршава је у меморији. ДЛЛ се добија од једног од имена домена генерисаних преко алгоритма за генерисање домена (ДГА).
Чини се да су генерисана имена хостова усклађена са онима повезаним са услугом Мицрософт Азуре Фунцтионс, инфраструктуром без сервера која, у овом контексту, омогућава оператерима да на једноставан начин постављају и ротирају своју инфраструктуру за постављање. Детаљније, БПиЦоде преузима датотеку пицкле која садржи три ставке: секундарну Питхон скрипту за учитавање, ЗИП архиву која садржи пакет ПитхонМемориМодуле и другу ЗИП архиву која садржи „екецутор.длл“.
Након тога, нова Питхон скрипта за учитавање се активира да учита 'екецутор.длл', малвер заснован на Борланд Делпхи-ју, такође познат као ЕкецуторЛоадер, у меморију помоћу ПитхонМемориМодуле-а. Примарна функција ЕкецуторЛоадер-а укључује декодирање и извршавање АллаСенха-е убризгавањем у легитимни процес мсхта.еке.
АллаСенха РАТ прикупља банкарске акредитиве жртава
Поред прикупљања акредитива за онлајн банкарство ускладиштених у веб прегледачима, АллаСенха поседује могућност да представи прозоре са преклапањем, омогућавајући хватање кодова за аутентификацију са два фактора (2ФА), па чак и приморава жртве да скенирају КР код како би ауторизовали лажну трансакцију коју су покренули нападачи. .
АллаСенха ради под оригиналним именом датотеке Аццесс_ПЦ_Цлиент_длл.длл, ознаком која је посебно повезана са пројектом КЛ Горки. Чини се да овај банкарски малвер спаја елементе из АллаКоре -а и претње познате као СерверСоцкет.
Дубље испитивање изворног кода повезаног са почетном ЛНК датотеком и АллаСенха сугерише умешаност појединца који говори португалски по имену берт1м у развоју малвера. Међутим, тренутно нема доказа који указују на њихов директан рад са алатима.
Истраживачи истичу да сајбер криминалци који дјелују у Латинској Америци показују значајну продуктивност у покретању кампања за сајбер криминал. Иако њихов примарни фокус лежи на циљању појединаца из Латинске Америке како би украли банкарске информације, ови актери често компромитују рачунаре којима управљају подружнице или запослени широм света, посебно у Бразилу.
