AllaSenha 行動惡意軟體

隨著一項新活動引入了名為 AllaSenha 的遠端訪問木馬 (RAT)，巴西銀行正面臨新的攻擊。該惡意軟體旨在利用 Azure 雲端作為其命令與控制 (C2) 基礎設施，竊取對巴西銀行帳戶存取至關重要的憑證。仔細研究此威脅的分析師確認其與基於 Windows 的 AllaKore 行動惡意軟體的定製版本相似。

這次公開的攻勢針對的著名銀行機構包括巴西銀行、布拉德斯科銀行、薩夫拉銀行、聯邦儲蓄銀行、Itaú Unibanco、Sicoob 和 Sicredi。雖然確切的初始訪問方法尚未得到證實，但有跡象表明，網路釣魚通訊中利用了威脅連結。

交付 AllaSenha RAT 的攻擊鏈的初始階段

該攻擊從偽裝成PDF 文件（“NotaFiscal.pdf.lnk”）的欺騙性Windows 快捷方式(LNK) 文件開始，該文件至少自2024 年3 月起託管在WebDAV 伺服器上。操作背後的威脅行為者之前曾利用 Autodesk A360 Drive 和 GitHub 等合法服務來託管其有效負載。

執行後，LNK 檔案會觸發 Windows 命令 shell，該 shell 會向收件者顯示偽造的 PDF 文件，同時也會從同一 WebDAV 伺服器位置取得名為「c.cmd」的 BAT 有效負載。

該檔案被稱為 BPyCode 啟動器，它啟動一個 Base64 編碼的 PowerShell 命令，該命令依次從官方 www.python.org 網站下載 Python 二進位檔案以執行名為 BPyCode 的 Python 腳本。

作為攻擊的一部分部署的其他有害工具

BPyCode 充當動態連結庫（“executor.dll”）的下載器並在記憶體中執行它。該 DLL 是從透過域生成演算法 (DGA) 生成的域名之一獲取的。

產生的主機名稱似乎與連結到 Microsoft Azure Functions 服務的主機名稱一致，這是一種無伺服器基礎設施，在這種情況下，使操作員能夠方便地部署和輪換其臨時基礎設施。具體來說，BPyCode 檢索包含三個專案的 pickle 檔案：輔助 Python 載入器腳本、包含 PythonMemoryModule 套件的 ZIP 檔案以及另一個包含「executor.dll」的 ZIP 檔案。

隨後，新的 Python 載入器腳本被激活，以使用 PythonMemoryModule 將「executor.dll」（基於 Borland Delphi 的惡意軟體，也稱為 ExecutorLoader）載入記憶體。 ExecutorLoader 的主要功能包括透過將 AllaSenha 注入合法的 mshta.exe 進程來解碼和執行 AllaSenha。

AllaSenha RAT 取得受害者的銀行憑證

除了取得儲存在 Web 瀏覽器中的線上銀行憑證之外，AllaSenha 還能夠呈現覆蓋窗口，從而能夠捕獲雙重認證 (2FA) 代碼，甚至強迫受害者掃描二維碼以授權攻擊者發起的詐欺交易。

AllaSenha 在原始檔案名稱 Access_PC_Client_dll.dll 下運行，該名稱與 KL Gorki 專案密切相關。這種銀行惡意軟體似乎融合了AllaKore和 ServerSocket 威脅的元素。

對與初始 LNK 文件和 AllaSenha 相關的源代碼進行更深入的審查表明，一個名為 bert1m 的葡萄牙語個人參與了該惡意軟體的開發。然而，目前沒有證據顯示他們直接操作了這些工具。

研究人員強調，在拉丁美洲活動的網路犯罪分子在發起網路犯罪活動方面表現出了顯著的生產力。雖然他們的主要目標是針對拉丁美洲個人竊取銀行信息，但這些行為者經常破壞世界各地（尤其是巴西）子公司或員工操作的計算機。