AllaSenha మొబైల్ మాల్వేర్

అల్లాసెన్హా అని పిలువబడే రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ని కొత్త ప్రచారం పరిచయం చేయడంతో బ్రెజిలియన్ బ్యాంకులు తాజా దాడిని ఎదుర్కొంటున్నాయి. ఈ మాల్వేర్ బ్రెజిలియన్ బ్యాంక్ ఖాతా యాక్సెస్ కోసం కీలకమైన ఆధారాలను దొంగిలించడానికి రూపొందించబడింది, అజూర్ క్లౌడ్‌ను కమాండ్-అండ్-కంట్రోల్ (C2) ఇన్‌ఫ్రాస్ట్రక్చర్‌గా ఉపయోగిస్తుంది. ఈ ప్రమాదాన్ని పరిశీలిస్తున్న విశ్లేషకులు Windows-ఆధారిత AllaKore మొబైల్ మాల్వేర్ యొక్క అనుకూలీకరించిన పునరావృతంతో దాని సారూప్యతను ధృవీకరించారు.

బ్యాంకో డో బ్రసిల్, బ్రాడెస్కో, బాంకో సఫ్రా, కైక్సా ఎకనోమికా ఫెడరల్, ఇటౌ యునిబాంకో, సికూబ్ మరియు సిక్రెడి వంటి ప్రమాదకర అంశాలను ఇందులో లక్ష్యంగా చేసుకున్న ప్రముఖ బ్యాంకింగ్ సంస్థలు వెల్లడించాయి. ఖచ్చితమైన ప్రారంభ యాక్సెస్ పద్ధతి ధృవీకరించబడనప్పటికీ, ఫిషింగ్ కమ్యూనికేషన్‌లలో బెదిరింపు లింక్‌ల వినియోగాన్ని సూచనలు సూచిస్తున్నాయి.

అటాక్ చైన్ డెలివరింగ్ అల్లాసెన్హా RAT యొక్క ప్రారంభ దశ

కనీసం మార్చి 2024 నుండి WebDAV సర్వర్‌లో హోస్ట్ చేయబడిన PDF డాక్యుమెంట్ ('NotaFiscal.pdf.lnk') వలె కనిపించే మోసపూరిత Windows షార్ట్‌కట్ (LNK) ఫైల్‌తో దాడి ప్రారంభమవుతుంది. అంతేకాకుండా, ఈ ఆపరేషన్ వెనుక బెదిరింపు పాత్రలు ఉన్నట్లు సూచనలు ఉన్నాయి. వారి పేలోడ్‌లను హోస్ట్ చేయడానికి ఆటోడెస్క్ A360 డ్రైవ్ మరియు GitHub వంటి చట్టబద్ధమైన సేవలను గతంలో ఉపయోగించుకున్నారు.

అమలు చేసిన తర్వాత, LNK ఫైల్ విండోస్ కమాండ్ షెల్‌ను ప్రేరేపిస్తుంది, ఇది గ్రహీతకు నకిలీ PDF ఫైల్‌ను ప్రదర్శిస్తుంది, అదే WebDAV సర్వర్ స్థానం నుండి 'c.cmd' అనే BAT పేలోడ్‌ను కూడా పొందుతుంది.

BPyCode లాంచర్‌గా పిలువబడే ఈ ఫైల్ Base64-ఎన్‌కోడ్ చేయబడిన PowerShell ఆదేశాన్ని ప్రారంభిస్తుంది, ఇది BPyCode పేరుతో పైథాన్ స్క్రిప్ట్‌ను అమలు చేయడానికి అధికారిక www.python.org సైట్ నుండి పైథాన్ బైనరీని డౌన్‌లోడ్ చేస్తుంది.

దాడిలో భాగంగా అదనపు హానికరమైన సాధనాలు ఉపయోగించబడ్డాయి

BPyCode డైనమిక్-లింక్ లైబ్రరీ ('executor.dll') కోసం డౌన్‌లోడ్‌గా పనిచేస్తుంది మరియు దానిని మెమరీలో అమలు చేస్తుంది. DLL డొమైన్ జనరేషన్ అల్గోరిథం (DGA) ద్వారా రూపొందించబడిన డొమైన్ పేర్లలో ఒకదాని నుండి పొందబడింది.

సృష్టించబడిన హోస్ట్ పేర్లు మైక్రోసాఫ్ట్ అజూర్ ఫంక్షన్‌ల సేవకు లింక్ చేయబడిన వాటితో సమలేఖనం చేయబడినట్లు కనిపిస్తాయి, ఇది సర్వర్‌లెస్ ఇన్‌ఫ్రాస్ట్రక్చర్, ఈ సందర్భంలో, ఆపరేటర్‌లు వారి స్టేజింగ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను సౌకర్యవంతంగా అమలు చేయడానికి మరియు తిప్పడానికి వీలు కల్పిస్తుంది. వివరంగా, BPyCode మూడు అంశాలను కలిగి ఉన్న పికిల్ ఫైల్‌ను తిరిగి పొందుతుంది: సెకండరీ పైథాన్ లోడర్ స్క్రిప్ట్, PythonMemoryModule ప్యాకేజీని కలిగి ఉన్న జిప్ ఆర్కైవ్ మరియు 'executor.dll.' కలిగి ఉన్న మరొక జిప్ ఆర్కైవ్.

తదనంతరం, PythonMemoryModuleని ఉపయోగించి మెమరీలోకి ఎగ్జిక్యూటర్‌లోడర్ అని కూడా పిలువబడే బోర్లాండ్ డెల్ఫీ-ఆధారిత మాల్వేర్ అయిన 'executor.dll'ని లోడ్ చేయడానికి కొత్త పైథాన్ లోడర్ స్క్రిప్ట్ యాక్టివేట్ చేయబడింది. ఎగ్జిక్యూటర్‌లోడర్ యొక్క ప్రాథమిక విధిలో అల్లాసెన్హాను చట్టబద్ధమైన mshta.exe ప్రక్రియలోకి ఇంజెక్ట్ చేయడం ద్వారా డీకోడింగ్ చేయడం మరియు అమలు చేయడం ఉంటుంది.

AllaSenha RAT బాధితుల బ్యాంకింగ్ ఆధారాలను సేకరించింది

వెబ్ బ్రౌజర్‌లలో నిల్వ చేయబడిన ఆన్‌లైన్ బ్యాంకింగ్ ఆధారాలను సేకరించడమే కాకుండా, అల్లాసెన్హా ఓవర్‌లే విండోలను ప్రదర్శించే సామర్థ్యాన్ని కలిగి ఉంది, రెండు-కారకాల ప్రమాణీకరణ (2FA) కోడ్‌లను సంగ్రహించడం మరియు దాడి చేసేవారు ప్రారంభించిన మోసపూరిత లావాదేవీని ప్రామాణీకరించడానికి బాధితులను QR కోడ్‌ను స్కాన్ చేయడాన్ని కూడా అనుమతిస్తుంది. .

AllaSenha అసలు ఫైల్ పేరు Access_PC_Client_dll.dll కింద పనిచేస్తుంది, ఇది KL గోర్కీ ప్రాజెక్ట్‌తో ప్రత్యేకంగా అనుబంధించబడిన హోదా. ఈ బ్యాంకింగ్ మాల్వేర్ AllaKore మరియు ServerSocket అని పిలవబడే ముప్పు రెండింటి నుండి ఎలిమెంట్‌లను కలిపేలా కనిపిస్తుంది.

ప్రారంభ LNK ఫైల్‌కి లింక్ చేయబడిన సోర్స్ కోడ్ యొక్క లోతైన పరిశీలన మరియు AllaSenha మాల్వేర్ అభివృద్ధిలో bert1m అనే పోర్చుగీస్ మాట్లాడే వ్యక్తి యొక్క ప్రమేయాన్ని సూచిస్తుంది. అయినప్పటికీ, సాధనాల యొక్క వారి ప్రత్యక్ష కార్యాచరణను సూచించే ఆధారాలు ప్రస్తుతం లేవు.

లాటిన్ అమెరికాలో సైబర్ నేరగాళ్లు సైబర్ క్రైమ్ ప్రచారాలను ప్రారంభించడంలో చెప్పుకోదగ్గ ఉత్పాదకతను ప్రదర్శిస్తారని పరిశోధకులు హైలైట్ చేస్తున్నారు. బ్యాంకింగ్ సమాచారాన్ని దొంగిలించడానికి లాటిన్ అమెరికన్ వ్యక్తులను లక్ష్యంగా చేసుకోవడంలో వారి ప్రాథమిక దృష్టి ఉంది, ఈ నటులు ప్రపంచవ్యాప్తంగా, ముఖ్యంగా బ్రెజిల్‌లో అనుబంధ సంస్థలు లేదా ఉద్యోగులు నిర్వహించే కంప్యూటర్‌లను తరచుగా రాజీ చేస్తారు.