มัลแวร์มือถือ AllaSenha
ธนาคารในบราซิลกำลังเผชิญกับการโจมตีครั้งใหม่เนื่องจากแคมเปญใหม่แนะนำ Remote Access Trojan (RAT) ที่เรียกว่า AllaSenha มัลแวร์นี้ได้รับการปรับแต่งเพื่อขโมยข้อมูลประจำตัวที่สำคัญสำหรับการเข้าถึงบัญชีธนาคารของบราซิล โดยใช้ Azure cloud เป็นโครงสร้างพื้นฐาน Command-and-Control (C2) นักวิเคราะห์ที่กำลังพิจารณาภัยคุกคามนี้อย่างละเอียดยืนยันว่ามีความคล้ายคลึงกับการทำซ้ำมัลแวร์มือถือ AllaKore ที่ใช้ Windows
สถาบันการเงินที่มีชื่อเสียงซึ่งตกเป็นเป้าหมายในการรุกครั้งนี้ ได้แก่ Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob และ Sicredi แม้ว่าวิธีการเข้าถึงเบื้องต้นที่แม่นยำยังคงไม่ได้รับการยืนยัน แต่ข้อบ่งชี้บ่งชี้ถึงการใช้ลิงก์ที่คุกคามภายในการสื่อสารแบบฟิชชิ่ง
สารบัญ
ระยะเริ่มต้นของห่วงโซ่การโจมตีที่ส่งมอบ AllaSenha RAT
การโจมตีเริ่มต้นด้วยไฟล์ทางลัด Windows (LNK) ที่หลอกลวงซึ่งวางตัวเป็นเอกสาร PDF ('NotaFiscal.pdf.lnk') ซึ่งโฮสต์บนเซิร์ฟเวอร์ WebDAV ตั้งแต่อย่างน้อยเดือนมีนาคม 2567 นอกจากนี้ยังมีข้อบ่งชี้ว่าผู้คุกคามที่อยู่เบื้องหลังการดำเนินการนี้ ก่อนหน้านี้ได้ใช้ประโยชน์จากบริการที่ถูกต้องตามกฎหมาย เช่น Autodesk A360 Drive และ GitHub เพื่อโฮสต์เพย์โหลดของพวกเขา
เมื่อดำเนินการ ไฟล์ LNK จะทริกเกอร์เชลล์คำสั่ง Windows ซึ่งแสดงไฟล์ PDF ปลอมไปยังผู้รับ ในขณะเดียวกันก็ดึงข้อมูล BAT payload ชื่อ 'c.cmd' จากตำแหน่งเซิร์ฟเวอร์ WebDAV เดียวกัน
ไฟล์นี้เป็นที่รู้จักในชื่อตัวเรียกใช้งาน BPyCode เริ่มต้นคำสั่ง PowerShell ที่เข้ารหัส Base64 ซึ่งจะดาวน์โหลดไบนารี Python จากไซต์ทางการ www.python.org เพื่อรันสคริปต์ Python ชื่อ BPyCode
เครื่องมือที่เป็นอันตรายเพิ่มเติมที่ปรับใช้เป็นส่วนหนึ่งของการโจมตี
BPyCode ทำหน้าที่เป็นตัวดาวน์โหลดสำหรับไลบรารีลิงก์แบบไดนามิก ('executor.dll') และดำเนินการในหน่วยความจำ DLL ได้มาจากชื่อโดเมนชื่อใดชื่อหนึ่งที่สร้างขึ้นผ่านอัลกอริทึมการสร้างโดเมน (DGA)
ชื่อโฮสต์ที่สร้างขึ้นดูเหมือนจะสอดคล้องกับชื่อที่เชื่อมโยงกับบริการ Microsoft Azure Functions ซึ่งเป็นโครงสร้างพื้นฐานแบบไร้เซิร์ฟเวอร์ ซึ่งในบริบทนี้ ช่วยให้ผู้ปฏิบัติงานสามารถปรับใช้และหมุนเวียนโครงสร้างพื้นฐานชั่วคราวได้อย่างสะดวก ในรายละเอียด BPyCode ดึงไฟล์ดองที่มีสามรายการ: สคริปต์ตัวโหลด Python รอง ไฟล์ ZIP ที่บรรจุแพ็คเกจ PythonMemoryModule และไฟล์ ZIP อื่นที่มี 'executor.dll'
จากนั้น สคริปต์ตัวโหลด Python ใหม่จะถูกเปิดใช้งานเพื่อโหลด 'executor.dll' ซึ่งเป็นมัลแวร์ที่ใช้ Borland Delphi หรือที่รู้จักกันในชื่อ ExecutorLoader ลงในหน่วยความจำโดยใช้ PythonMemoryModule ฟังก์ชันหลักของ ExecutorLoader เกี่ยวข้องกับการถอดรหัสและดำเนินการ AllaSenha โดยการฉีดเข้าไปในกระบวนการ mshta.exe ที่ถูกต้องตามกฎหมาย
AllaSenha RAT เก็บเกี่ยวข้อมูลรับรองการธนาคารของเหยื่อ
นอกเหนือจากการเก็บเกี่ยวข้อมูลรับรองธนาคารออนไลน์ที่จัดเก็บไว้ในเว็บเบราว์เซอร์แล้ว AllaSenha ยังมีความสามารถในการนำเสนอหน้าต่างซ้อนทับ ทำให้สามารถจับภาพรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) และแม้แต่บังคับเหยื่อให้สแกนรหัส QR เพื่ออนุญาตธุรกรรมฉ้อโกงที่เริ่มต้นโดยผู้โจมตี .
AllaSenha ทำงานภายใต้ชื่อไฟล์ต้นฉบับ Access_PC_Client_dll.dll ซึ่งเป็นชื่อที่เกี่ยวข้องกับโครงการ KL Gorki โดยเฉพาะอย่างยิ่ง มัลแวร์ธนาคารนี้ดูเหมือนจะรวมองค์ประกอบจากทั้ง AllaKore และภัยคุกคามที่เรียกว่า ServerSocket
การตรวจสอบซอร์สโค้ดที่เชื่อมโยงกับไฟล์ LNK เริ่มต้นอย่างละเอียดยิ่งขึ้น และ AllaSenha ชี้ให้เห็นถึงการมีส่วนร่วมของบุคคลที่พูดภาษาโปรตุเกสชื่อ bert1m ในการพัฒนามัลแวร์ อย่างไรก็ตาม ขณะนี้ยังไม่มีหลักฐานบ่งชี้ถึงการใช้งานเครื่องมือโดยตรง
นักวิจัยเน้นย้ำว่าอาชญากรไซเบอร์ที่ปฏิบัติการในละตินอเมริกาแสดงให้เห็นถึงประสิทธิภาพการทำงานที่โดดเด่นในการเปิดตัวแคมเปญอาชญากรรมทางไซเบอร์ แม้ว่าเป้าหมายหลักจะอยู่ที่การกำหนดเป้าหมายไปที่บุคคลในละตินอเมริกาเพื่อขโมยข้อมูลธนาคาร แต่ผู้มีบทบาทเหล่านี้มักโจมตีคอมพิวเตอร์ที่ดำเนินการโดยบริษัทสาขาหรือพนักงานทั่วโลก โดยเฉพาะในบราซิล
