AllaSenha மொபைல் மால்வேர்

ஒரு புதிய பிரச்சாரம் AllaSenha என அழைக்கப்படும் தொலைநிலை அணுகல் ட்ரோஜனை (RAT) அறிமுகப்படுத்தியதால், பிரேசிலிய வங்கிகள் புதிய தாக்குதலை எதிர்கொள்கின்றன. இந்த மால்வேர் பிரேசிலிய வங்கிக் கணக்கு அணுகலுக்கான முக்கியமான நற்சான்றிதழ்களைத் திருட வடிவமைக்கப்பட்டுள்ளது, அஸூர் கிளவுட்டை அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) உள்கட்டமைப்பாகப் பயன்படுத்துகிறது. இந்த அச்சுறுத்தலை ஆராய்ந்த ஆய்வாளர்கள், விண்டோஸ் அடிப்படையிலான AllaKore மொபைல் தீம்பொருளின் தனிப்பயனாக்கப்பட்ட மறு செய்கையுடன் அதன் ஒற்றுமையை உறுதிப்படுத்தியுள்ளனர்.

இதில் குறிவைக்கப்பட்ட குறிப்பிடத்தக்க வங்கி நிறுவனங்கள், Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob மற்றும் Sicredi ஆகியவற்றை உள்ளடக்கிய தாக்குதலை வெளிப்படுத்தியது. துல்லியமான ஆரம்ப அணுகல் முறை உறுதிப்படுத்தப்படாத நிலையில், ஃபிஷிங் தகவல்தொடர்புகளுக்குள் அச்சுறுத்தும் இணைப்புகளைப் பயன்படுத்துவதை அறிகுறிகள் பரிந்துரைக்கின்றன.

AllaSenha RAT வழங்கும் தாக்குதல் சங்கிலியின் ஆரம்ப நிலை

குறைந்தது மார்ச் 2024 முதல் WebDAV சர்வரில் ஹோஸ்ட் செய்யப்பட்ட PDF ஆவணமாக ('NotaFiscal.pdf.lnk') தோற்றமளிக்கும் ஒரு ஏமாற்றும் Windows ஷார்ட்கட் (LNK) கோப்புடன் தாக்குதல் தொடங்குகிறது. மேலும், இந்தச் செயல்பாட்டின் பின்னணியில் அச்சுறுத்தல் நடிகர்கள் இருப்பதற்கான அறிகுறிகளும் உள்ளன. ஆட்டோடெஸ்க் ஏ360 டிரைவ் மற்றும் கிட்ஹப் போன்ற முறையான சேவைகளை தங்கள் பேலோடுகளை ஹோஸ்ட் செய்வதற்கு முன்பு பயன்படுத்திக் கொண்டன.

செயல்படுத்தப்பட்டவுடன், LNK கோப்பு ஒரு Windows கட்டளை ஷெல்லைத் தூண்டுகிறது, இது பெறுநருக்கு போலி PDF கோப்பைக் காண்பிக்கும் அதே வேளையில் அதே WebDAV சேவையக இடத்திலிருந்து 'c.cmd' என்ற BAT பேலோடைப் பெறுகிறது.

BPyCode துவக்கி என அறியப்படும், இந்த கோப்பு Base64-குறியீடு செய்யப்பட்ட PowerShell கட்டளையைத் தொடங்குகிறது, இது BPyCode எனப்படும் பைதான் ஸ்கிரிப்டை இயக்க அதிகாரப்பூர்வ www.python.org தளத்திலிருந்து பைதான் பைனரியைப் பதிவிறக்குகிறது.

தாக்குதலின் ஒரு பகுதியாக கூடுதல் தீங்கு விளைவிக்கும் கருவிகள் பயன்படுத்தப்பட்டன

BPyCode ஒரு டைனமிக்-லிங்க் லைப்ரரிக்கு ('executor.dll') டவுன்லோடராக செயல்படுகிறது மற்றும் அதை நினைவகத்தில் செயல்படுத்துகிறது. DLL ஆனது டொமைன் தலைமுறை அல்காரிதம் (DGA) மூலம் உருவாக்கப்பட்ட டொமைன் பெயர்களில் ஒன்றிலிருந்து பெறப்படுகிறது.

உருவாக்கப்பட்ட ஹோஸ்ட்பெயர்கள் மைக்ரோசாஃப்ட் அஸூர் ஃபங்ஷன்ஸ் சேவையுடன் இணைக்கப்பட்டவற்றுடன் இணைந்ததாகத் தோன்றுகிறது, இது ஒரு சர்வர்லெஸ் உள்கட்டமைப்பு ஆகும், இது இந்த சூழலில், ஆபரேட்டர்கள் தங்கள் ஸ்டேஜிங் உள்கட்டமைப்பை வசதியாக வரிசைப்படுத்தவும் சுழற்றவும் உதவுகிறது. விரிவாக, BPyCode மூன்று பொருட்களைக் கொண்ட ஊறுகாய் கோப்பை மீட்டெடுக்கிறது: ஒரு இரண்டாம் நிலை பைதான் ஏற்றி ஸ்கிரிப்ட், PythonMemoryModule தொகுப்பைக் கொண்ட ZIP காப்பகம் மற்றும் 'executor.dll.' ஐக் கொண்ட மற்றொரு ZIP காப்பகம்.

பின்னர், புதிய பைதான் ஏற்றி ஸ்கிரிப்ட் ஆனது 'executor.dll' ஐ ஏற்றுவதற்கு செயல்படுத்தப்பட்டது, இது போர்லாண்ட் டெல்பி அடிப்படையிலான தீம்பொருளானது, இது ExecutorLoader என்றும் அழைக்கப்படுகிறது, இது PythonMemoryModule ஐப் பயன்படுத்தி நினைவகத்தில் உள்ளது. ExecutorLoader இன் முதன்மைச் செயல்பாடானது, சட்டபூர்வமான mshta.exe செயல்முறையில் அல்லாசென்ஹாவை உட்செலுத்துவதன் மூலம் டிகோடிங் செய்து செயல்படுத்துகிறது.

AllaSenha RAT பாதிக்கப்பட்டவர்களின் வங்கிச் சான்றுகளை அறுவடை செய்கிறது

இணைய உலாவிகளில் சேமிக்கப்பட்ட ஆன்லைன் வங்கிச் சான்றுகளை சேகரிப்பதைத் தவிர, மேலடுக்கு சாளரங்களை வழங்கும் திறனை AllaSenha கொண்டுள்ளது, இரண்டு-காரணி அங்கீகாரம் (2FA) குறியீடுகளைப் பிடிக்க உதவுகிறது மற்றும் தாக்குபவர்களால் தொடங்கப்பட்ட மோசடி பரிவர்த்தனையை அங்கீகரிக்க QR குறியீட்டை ஸ்கேன் செய்ய பாதிக்கப்பட்டவர்களை வற்புறுத்துகிறது. .

AllaSenha அசல் கோப்பு பெயர் Access_PC_Client_dll.dll கீழ் செயல்படுகிறது, இது KL Gorki திட்டத்துடன் தொடர்புடையது. இந்த வங்கி தீம்பொருள் AllaKore மற்றும் ServerSocket எனப்படும் அச்சுறுத்தல் இரண்டிலிருந்தும் கூறுகளை ஒன்றிணைப்பதாகத் தோன்றுகிறது.

ஆரம்ப LNK கோப்புடன் இணைக்கப்பட்ட மூலக் குறியீட்டின் ஆழமான ஆய்வு மற்றும் AllaSenha தீம்பொருளின் வளர்ச்சியில் bert1m என்ற போர்த்துகீசிய மொழி பேசும் நபரின் ஈடுபாட்டைப் பரிந்துரைக்கிறது. இருப்பினும், கருவிகளின் நேரடி செயல்பாட்டைக் குறிக்கும் எந்த ஆதாரமும் தற்போது இல்லை.

லத்தீன் அமெரிக்காவில் செயல்படும் சைபர் கிரைம்கள் சைபர் கிரைம் பிரச்சாரங்களைத் தொடங்குவதில் குறிப்பிடத்தக்க உற்பத்தித்திறனைக் காட்டுவதாக ஆராய்ச்சியாளர்கள் எடுத்துக்காட்டுகின்றனர். லத்தீன் அமெரிக்க நபர்களை இலக்காகக் கொண்டு வங்கித் தகவல்களைத் திருடுவதில் அவர்களின் முதன்மை கவனம் உள்ளது, இந்த நடிகர்கள் உலகெங்கிலும், குறிப்பாக பிரேசிலில் உள்ள துணை நிறுவனங்கள் அல்லது ஊழியர்களால் இயக்கப்படும் கணினிகளை அடிக்கடி சமரசம் செய்கின்றனர்.