AllaSenha Mobile Malware
Ang mga bangko sa Brazil ay nahaharap sa panibagong pagsalakay habang ipinakilala ng isang bagong kampanya ang Remote Access Trojan (RAT) na tinatawag na AllaSenha. Ang malware na ito ay iniakma upang kunin ang mga kredensyal na mahalaga para sa Brazilian bank account access, gamit ang Azure cloud bilang Command-and-Control (C2) na imprastraktura nito. Ang mga analyst na nagsusuri sa banta na ito ay pinatunayan ang pagkakahawig nito sa isang customized na pag-ulit ng AllaKore mobile malware na nakabase sa Windows.
Ang mga kilalang institusyong pagbabangko na naka-target sa ipinahayag na opensiba na ito ay sumasaklaw sa Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob at Sicredi. Habang ang tumpak na paraan ng paunang pag-access ay nananatiling hindi nakumpirma, ang mga indikasyon ay nagmumungkahi ng paggamit ng mga nagbabantang link sa loob ng mga komunikasyon sa phishing.
Talaan ng mga Nilalaman
Ang Paunang Yugto ng Attack Chain na Naghahatid ng AllaSenha RAT
Nagsisimula ang pag-atake sa isang mapanlinlang na Windows shortcut (LNK) na file na nagpapanggap bilang isang PDF na dokumento ('NotaFiscal.pdf.lnk'), na naka-host sa isang WebDAV server mula noong Marso 2024 man lang. Bukod dito, may mga indikasyon na ang mga banta sa likod ng operasyong ito dati nang pinagsamantalahan ang mga lehitimong serbisyo gaya ng Autodesk A360 Drive at GitHub para i-host ang kanilang mga payload.
Kapag naisakatuparan, ang LNK file ay nagti-trigger ng Windows command shell, na nagpapakita ng pekeng PDF file sa tatanggap habang kumukuha din ng BAT payload na pinangalanang 'c.cmd' mula sa parehong lokasyon ng server ng WebDAV.
Kilala bilang BPyCode launcher, ang file na ito ay nagpapasimula ng Base64-encoded PowerShell command, na nagda-download naman ng Python binary mula sa opisyal na www.python.org na site upang magsagawa ng Python script na pinangalanang BPyCode.
Mga Karagdagang Nakakapinsalang Tool na Inilagay bilang Bahagi ng Pag-atake
Nagsisilbi ang BPyCode bilang isang downloader para sa isang dynamic-link na library ('executor.dll') at pinapatupad ito sa memorya. Ang DLL ay nakuha mula sa isa sa mga domain name na nabuo sa pamamagitan ng isang domain generation algorithm (DGA).
Ang mga nabuong hostname ay lumilitaw na umaayon sa mga naka-link sa serbisyo ng Microsoft Azure Functions, isang walang server na imprastraktura na, sa kontekstong ito, ay nagbibigay-daan sa mga operator na maginhawang i-deploy at iikot ang kanilang imprastraktura sa pagtatanghal. Sa detalye, kinukuha ng BPyCode ang isang pickle file na naglalaman ng tatlong item: isang pangalawang Python loader script, isang ZIP archive na naglalaman ng PythonMemoryModule package at isa pang ZIP archive na naglalaman ng 'executor.dll.'
Kasunod nito, ang bagong script ng Python loader ay isinaaktibo upang i-load ang 'executor.dll,' isang malware na nakabase sa Borland Delphi, na kilala rin bilang ExecutorLoader, sa memorya gamit ang PythonMemoryModule. Kasama sa pangunahing function ng ExecutorLoader ang pag-decode at pagsasagawa ng AllaSenha sa pamamagitan ng pag-inject nito sa isang lehitimong proseso ng mshta.exe.
Inaani ng AllaSenha RAT ang mga Kredensyal sa Pagbabangko ng mga Biktima
Bukod sa pag-aani ng mga kredensyal sa online banking na nakaimbak sa mga Web browser, ang AllaSenha ay nagtataglay ng kakayahang magpakita ng mga overlay na window, na nagbibigay-daan sa pagkuha ng mga two-factor authentication (2FA) code at kahit na pinipilit ang mga biktima na mag-scan ng QR code para pahintulutan ang isang mapanlinlang na transaksyon na sinimulan ng mga umaatake. .
Gumagana ang AllaSenha sa ilalim ng orihinal na pangalan ng file na Access_PC_Client_dll.dll, isang pagtatalaga na kapansin-pansing nauugnay sa proyekto ng KL Gorki. Ang banking malware na ito ay lumilitaw na pinagsasama-sama ang mga elemento mula sa AllaKore at isang banta na kilala bilang ServerSocket.
Mas malalim na pagsusuri sa source code na naka-link sa paunang LNK file at iminumungkahi ni AllaSenha ang paglahok ng isang indibidwal na nagsasalita ng Portuges na pinangalanang bert1m sa pagbuo ng malware. Gayunpaman, sa kasalukuyan ay walang katibayan na nagpapahiwatig ng kanilang direktang operasyon ng mga tool.
Itinatampok ng mga mananaliksik na ang mga cybercriminal na tumatakbo sa Latin America ay nagpapakita ng kapansin-pansing pagiging produktibo sa paglulunsad ng mga kampanyang cybercrime. Bagama't ang kanilang pangunahing pokus ay nakasalalay sa pag-target sa mga indibidwal sa Latin America na magnakaw ng impormasyon sa pagbabangko, ang mga aktor na ito ay madalas na nakompromiso ang mga computer na pinapatakbo ng mga subsidiary o empleyado sa buong mundo, partikular sa Brazil.
