Phần mềm độc hại di động AllaSenha

Các ngân hàng Brazil đang phải đối mặt với một cuộc tấn công mới khi một chiến dịch mới giới thiệu Trojan truy cập từ xa (RAT) có tên là AllaSenha. Phần mềm độc hại này được thiết kế để lấy cắp thông tin xác thực quan trọng để truy cập tài khoản ngân hàng Brazil, sử dụng đám mây Azure làm cơ sở hạ tầng Chỉ huy và Kiểm soát (C2). Các nhà phân tích xem xét kỹ lưỡng mối đe dọa này đã khẳng định nó giống với một phiên bản tùy chỉnh của phần mềm độc hại di động AllaKore dựa trên Windows.

Các tổ chức ngân hàng đáng chú ý bị nhắm mục tiêu trong cuộc tấn công này tiết lộ cuộc tấn công bao gồm Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob và Sicredi. Mặc dù phương thức truy cập ban đầu chính xác vẫn chưa được xác nhận nhưng các dấu hiệu cho thấy việc sử dụng các liên kết đe dọa trong thông tin liên lạc lừa đảo.

Giai đoạn ban đầu của chuỗi tấn công cung cấp AllaSenha RAT

Cuộc tấn công bắt đầu bằng một tệp lối tắt Windows (LNK) lừa đảo giả dạng dưới dạng tài liệu PDF ('NotaFiscal.pdf.lnk'), được lưu trữ trên máy chủ WebDAV kể từ ít nhất là tháng 3 năm 2024. Hơn nữa, có dấu hiệu cho thấy các tác nhân đe dọa đằng sau hoạt động này trước đây đã khai thác các dịch vụ hợp pháp như Autodesk A360 Drive và GitHub để lưu trữ tải trọng của họ.

Sau khi thực thi, tệp LNK sẽ kích hoạt trình bao lệnh Windows, hiển thị tệp PDF giả cho người nhận đồng thời tìm nạp tải trọng BAT có tên 'c.cmd' từ cùng một vị trí máy chủ WebDAV.

Được biết đến với tên gọi trình khởi chạy BPyCode, tệp này khởi tạo lệnh PowerShell được mã hóa Base64, sau đó tải xuống tệp nhị phân Python từ trang www.python.org chính thức để thực thi tập lệnh Python có tên BPyCode.

Các công cụ có hại bổ sung được triển khai như một phần của cuộc tấn công

BPyCode đóng vai trò là trình tải xuống cho thư viện liên kết động ('executor.dll') và thực thi nó trong bộ nhớ. DLL được lấy từ một trong các tên miền được tạo thông qua thuật toán tạo miền (DGA).

Tên máy chủ được tạo có vẻ phù hợp với tên máy chủ được liên kết với dịch vụ Microsoft Azure Functions, một cơ sở hạ tầng không có máy chủ, trong bối cảnh này, cho phép các nhà khai thác triển khai và xoay vòng cơ sở hạ tầng dàn dựng của họ một cách thuận tiện. Cụ thể, BPyCode truy xuất một tệp dưa chứa ba mục: tập lệnh tải Python thứ cấp, kho lưu trữ ZIP chứa gói PythonMemoryModule và một kho lưu trữ ZIP khác chứa 'executor.dll.'

Sau đó, tập lệnh trình tải Python mới được kích hoạt để tải 'executor.dll', một phần mềm độc hại dựa trên Borland Delphi, còn được gọi là ExecutorLoader, vào bộ nhớ bằng PythonMemoryModule. Chức năng chính của ExecutorLoader liên quan đến việc giải mã và thực thi AllaSenha bằng cách đưa nó vào một quy trình mshta.exe hợp pháp.

AllaSenha RAT thu thập thông tin xác thực ngân hàng của nạn nhân

Ngoài việc thu thập thông tin xác thực ngân hàng trực tuyến được lưu trữ trong trình duyệt Web, AllaSenha còn có khả năng hiển thị các cửa sổ lớp phủ, cho phép lấy mã xác thực hai yếu tố (2FA) và thậm chí ép nạn nhân quét mã QR để cho phép giao dịch gian lận do kẻ tấn công thực hiện. .

AllaSenha hoạt động dưới tên tệp gốc Access_PC_Client_dll.dll, một tên gọi đặc biệt gắn liền với dự án KL Gorki. Phần mềm độc hại ngân hàng này dường như hợp nhất các yếu tố từ cả AllaKore và mối đe dọa được gọi là ServerSocket.

Việc xem xét kỹ hơn mã nguồn được liên kết với tệp LNK ban đầu và AllaSenha cho thấy có sự tham gia của một cá nhân nói tiếng Bồ Đào Nha tên là bert1m trong quá trình phát triển phần mềm độc hại. Tuy nhiên, hiện tại không có bằng chứng nào cho thấy họ vận hành trực tiếp các công cụ này.

Các nhà nghiên cứu nhấn mạnh rằng tội phạm mạng hoạt động ở Mỹ Latinh thể hiện năng suất đáng chú ý khi phát động các chiến dịch tội phạm mạng. Mặc dù trọng tâm chính của chúng là nhắm mục tiêu vào các cá nhân Mỹ Latinh để đánh cắp thông tin ngân hàng, nhưng những kẻ này thường xuyên xâm phạm các máy tính do các công ty con hoặc nhân viên trên toàn thế giới vận hành, đặc biệt là ở Brazil.