Зловмисне програмне забезпечення для мобільних пристроїв AllaSenha
Бразильські банки зіткнулися з новим нападом, оскільки нова кампанія представляє трояна віддаленого доступу (RAT) під назвою AllaSenha. Це зловмисне програмне забезпечення призначене для крадіжки облікових даних, важливих для доступу до банківського рахунку в Бразилії, використовуючи хмару Azure як свою інфраструктуру командування та керування (C2). Аналітики, які ретельно вивчають цю загрозу, підтвердили її схожість із спеціальною ітерацією мобільного зловмисного програмного забезпечення AllaKore для Windows.
Відомі банківські установи, націлені на цей виявлений наступ, охоплюють Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob і Sicredi. Хоча точний початковий метод доступу залишається непідтвердженим, ознаки свідчать про використання загрозливих посилань у фішингових повідомленнях.
Зміст
Початкова стадія ланцюга атаки, яка завдає AllaSenha RAT
Атака починається з оманливого файлу ярлика Windows (LNK), який представляє себе як PDF-документ ("NotaFiscal.pdf.lnk"), розміщений на сервері WebDAV щонайменше з березня 2024 року. Крім того, є ознаки того, що за цією операцією стоять загрози. раніше використовували законні служби, такі як Autodesk A360 Drive і GitHub, для розміщення своїх корисних даних.
Після виконання файл LNK запускає командну оболонку Windows, яка відображає підроблений PDF-файл одержувачу, а також отримує корисне навантаження BAT під назвою «c.cmd» із того самого розташування сервера WebDAV.
Цей файл, відомий як засіб запуску BPyCode, ініціює команду PowerShell у кодуванні Base64, яка, у свою чергу, завантажує двійковий файл Python з офіційного сайту www.python.org для виконання сценарію Python під назвою BPyCode.
Додаткові шкідливі засоби, застосовані як частина атаки
BPyCode служить завантажувачем для бібліотеки динамічного компонування ('executor.dll') і виконує її в пам'яті. DLL отримується з одного з доменних імен, згенерованих за допомогою алгоритму генерації домену (DGA).
Схоже, що створені імена хостів узгоджуються з іменами, пов’язаними зі службою Microsoft Azure Functions, безсерверною інфраструктурою, яка в цьому контексті дозволяє операторам зручно розгортати та змінювати свою проміжну інфраструктуру. Докладніше, BPyCode отримує файл pickle, що містить три елементи: вторинний скрипт завантажувача Python, ZIP-архів, що містить пакет PythonMemoryModule, і інший ZIP-архів, що містить «executor.dll».
Згодом новий сценарій завантажувача Python активується для завантаження «executor.dll», шкідливого програмного забезпечення на базі Borland Delphi, також відомого як ExecutorLoader, у пам’ять за допомогою PythonMemoryModule. Основна функція ExecutorLoader включає декодування та виконання AllaSenha шляхом введення його в законний процес mshta.exe.
AllaSenha RAT збирає банківські облікові дані жертв
Крім збору облікових даних онлайн-банкінгу, що зберігаються у веб-браузерах, AllaSenha має можливість відображати накладні вікна, що дозволяє перехоплювати коди двофакторної автентифікації (2FA) і навіть змушувати жертв сканувати QR-код для авторизації шахрайської транзакції, ініційованої зловмисниками. .
AllaSenha працює під оригінальною назвою файлу Access_PC_Client_dll.dll, яке, зокрема, пов’язане з проектом KL Gorki. Схоже, це банківське шкідливе програмне забезпечення об’єднує елементи як AllaKore , так і загрози, відомої як ServerSocket.
Більш глибоке дослідження вихідного коду, пов’язаного з початковим файлом LNK і AllaSenha, свідчить про участь португальськомовної людини на ім’я bert1m у розробці шкідливого програмного забезпечення. Однак на даний момент немає жодних доказів, які б вказували на безпосередню роботу інструментів.
Дослідники підкреслюють, що кіберзлочинці, які працюють у Латинській Америці, демонструють значну продуктивність у запуску кампаній проти кіберзлочинності. Хоча вони зосереджені в першу чергу на латиноамериканських особах для викрадення банківської інформації, ці актори часто компрометують комп’ютери, якими керують дочірні компанії або співробітники по всьому світу, особливо в Бразилії.
