AllaSenha 移动恶意软件

随着新一轮攻击活动引入一种名为 AllaSenha 的远程访问木马 (RAT)，巴西银行正面临新的攻击。该恶意软件专门用于窃取访问巴西银行账户所需的关键凭证，利用 Azure 云作为其命令和控制 (C2) 基础设施。仔细研究此威胁的分析师确认，它与基于 Windows 的 AllaKore 移动恶意软件的定制版本相似。

此次攻击中，知名银行包括巴西银行、Bradesco、萨夫拉银行、Caixa Econômica Federal、Itaú Unibanco、Sicoob 和 Sicredi。虽然确切的初始访问方法尚未得到证实，但有迹象表明，钓鱼通信中使用了威胁链接。

攻击链的初始阶段

攻击始于一个伪装成 PDF 文档的欺骗性 Windows 快捷方式 (LNK) 文件（“NotaFiscal.pdf.lnk”），该文件至少自 2024 年 3 月起托管在 WebDAV 服务器上。此外，有迹象表明，此操作背后的威胁行为者之前曾利用合法服务（例如 Autodesk A360 Drive 和 GitHub）来托管他们的有效负载。

执行后，LNK 文件会触发 Windows 命令 shell，向收件人显示一个假的 PDF 文件，同时从同一 WebDAV 服务器位置获取名为“c.cmd”的 BAT 有效负载。

该文件称为 BPyCode 启动器，它启动一个 Base64 编码的 PowerShell 命令，该命令会从官方网站 www.python.org 下载 Python 二进制文件以执行名为 BPyCode 的 Python 脚本。

攻击中部署的其他有害工具

BPyCode 充当动态链接库 ('executor.dll') 的下载器并在内存中执行它。该 DLL 是从通过域生成算法 (DGA) 生成的域名之一获得的。

生成的主机名似乎与链接到 Microsoft Azure Functions 服务的主机名一致，Microsoft Azure Functions 服务是一种无服务器基础设施，在这种情况下，它使操作员能够方便地部署和轮换其暂存基础设施。具体来说，BPyCode 检索包含三个项目的 pickle 文件：辅助 Python 加载器脚本、包含 PythonMemoryModule 包的 ZIP 存档和另一个包含“executor.dll”的 ZIP 存档。

随后，新的 Python 加载器脚本被激活，使用 PythonMemoryModule 将基于 Borland Delphi 的恶意软件“executor.dll”（也称为 ExecutorLoader）加载到内存中。ExecutorLoader 的主要功能是通过将 AllaSenha 注入合法的 mshta.exe 进程来解码和执行 AllaSenha。

AllaSenha RAT 窃取受害者的银行凭证

除了收集存储在 Web 浏览器中的网上银行凭证之外，AllaSenha 还能够显示覆盖窗口，捕获双因素身份验证 (2FA) 代码，甚至强迫受害者扫描二维码来授权攻击者发起的欺诈交易。

AllaSenha 的原始文件名为 Access_PC_Client_dll.dll，该名称与 KL Gorki 项目密切相关。这款银行恶意软件似乎融合了AllaKore和一种名为 ServerSocket 的威胁的元素。

进一步检查与初始 LNK 文件和 AllaSenha 相关的源代码后，我们发现一个名为 bert1m 的葡萄牙语人士参与了该恶意软件的开发。但是，目前没有证据表明他们直接操作了这些工具。

研究人员强调，在拉丁美洲活动的网络犯罪分子在发起网络犯罪活动方面表现出了惊人的效率。虽然他们的主要目标是针对拉丁美洲个人窃取银行信息，但这些犯罪分子经常入侵全球子公司或员工的计算机，尤其是在巴西。