AllaSenha Mobile Malware
Brasilianska banker står inför ett nytt angrepp när en ny kampanj introducerar en Remote Access Trojan (RAT) kallad AllaSenha. Denna skadliga programvara är skräddarsydd för att stjäla de autentiseringsuppgifter som är avgörande för tillgång till brasilianska bankkonton, med hjälp av Azure-molnet som sin Command-and-Control-infrastruktur (C2). Analytiker som granskar detta hot har bekräftat dess likhet med en anpassad iteration av den Windows-baserade AllaKore mobil skadlig programvara.
Anmärkningsvärda bankinstitutioner som riktas mot denna avslöjade offensiv omfattar Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob och Sicredi. Även om den exakta initiala åtkomstmetoden förblir obekräftad, tyder indikationer på användningen av hotfulla länkar inom nätfiskekommunikation.
Innehållsförteckning
Det inledande skedet av attackkedjan som levererar AllaSenha RAT
Attacken börjar med en vilseledande Windows-genvägsfil (LNK) som utger sig som ett PDF-dokument ('NotaFiscal.pdf.lnk'), värd på en WebDAV-server sedan åtminstone mars 2024. Dessutom finns det indikationer på att hotaktörerna bakom denna operation har tidigare utnyttjat legitima tjänster som Autodesk A360 Drive och GitHub för att vara värd för sina nyttolaster.
Vid körning utlöser LNK-filen ett Windows-kommandoskal, som visar en falsk PDF-fil för mottagaren samtidigt som den hämtar en BAT-nyttolast med namnet 'c.cmd' från samma WebDAV-serverplats.
Den här filen, känd som BPyCode-startaren, initierar ett Base64-kodat PowerShell-kommando, som i sin tur laddar ner Python-binären från den officiella webbplatsen www.python.org för att exekvera ett Python-skript som heter BPyCode.
Ytterligare skadliga verktyg utplacerade som en del av attacken
BPyCode fungerar som en nedladdare för ett dynamiskt länkbibliotek ('executor.dll') och kör det i minnet. DLL:n erhålls från ett av domännamnen som genereras via en domängenereringsalgoritm (DGA).
De genererade värdnamnen verkar överensstämma med de som är kopplade till Microsoft Azure Functions-tjänsten, en serverlös infrastruktur som i detta sammanhang gör det möjligt för operatörer att bekvämt distribuera och rotera sin staging-infrastruktur. I detalj hämtar BPyCode en pickle-fil som innehåller tre objekt: ett sekundärt Python-laddningsskript, ett ZIP-arkiv som innehåller PythonMemoryModule-paketet och ett annat ZIP-arkiv som innehåller 'executor.dll.'
Därefter aktiveras det nya Python-laddningsskriptet för att ladda 'executor.dll', en Borland Delphi-baserad skadlig programvara, även känd som ExecutorLoader, till minnet med PythonMemoryModule. ExecutorLoaders primära funktion involverar avkodning och exekvering av AllaSenha genom att injicera den i en legitim mshta.exe-process.
AllaSenha RAT skördar offers bankuppgifter
Förutom att samla in nätbanksuppgifter som lagras i webbläsare, har AllaSenha förmågan att presentera överlagringsfönster, vilket möjliggör infångning av tvåfaktorsautentiseringskoder (2FA) och till och med tvinga offren att skanna en QR-kod för att godkänna en bedräglig transaktion som initierats av angriparna .
AllaSenha verkar under det ursprungliga filnamnet Access_PC_Client_dll.dll, en beteckning som särskilt förknippas med KL Gorki-projektet. Denna bankskadliga programvara verkar sammanfoga element från både AllaKore och ett hot som kallas ServerSocket.
Djupare granskning av källkoden kopplad till den initiala LNK-filen och AllaSenha föreslår involvering av en portugisisktalande person vid namn bert1m i utvecklingen av skadlig programvara. Det finns dock för närvarande inga bevis som tyder på att de direkt använder verktygen.
Forskare framhåller att cyberbrottslingar som verkar i Latinamerika visar anmärkningsvärd produktivitet när de lanserar cyberbrottskampanjer. Medan deras primära fokus ligger på att rikta in sig på latinamerikanska individer för att stjäla bankinformation, kompromissar dessa aktörer ofta med datorer som drivs av dotterbolag eller anställda över hela världen, särskilt i Brasilien.
