AllaSenha Mobile -haittaohjelma
Brasilialaiset pankit kohtaavat uuden hyökkäyksen, kun uusi kampanja esittelee etäkäyttötroijalaisen (RAT), jonka nimi on AllaSenha. Tämä haittaohjelma on räätälöity ryöstämään Brasilian pankkitilille pääsyn kannalta tärkeät tunnistetiedot käyttämällä Azure-pilveä Command-and-Control (C2) -infrastruktuurina. Tätä uhkaa tutkivat analyytikot ovat vahvistaneet, että se muistuttaa Windows-pohjaisen AllaKore-mobiilihaittaohjelman mukautettua iteraatiota.
Tämän paljastetun hyökkäyksen kohteeksi joutuneita merkittäviä pankkilaitoksia ovat Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob ja Sicredi. Vaikka tarkkaa alkuperäistä pääsytapaa ei ole vahvistettu, merkit viittaavat uhkaavien linkkien käyttöön tietojenkalasteluviestinnässä.
Sisällysluettelo
AllaSenha RATin toimittavan hyökkäysketjun alkuvaihe
Hyökkäys alkaa petollisen Windows-pikakuvakkeen (LNK) -tiedostolla, joka esiintyy PDF-dokumenttina ("NotaFiscal.pdf.lnk"), jota on isännöity WebDAV-palvelimella ainakin maaliskuusta 2024 lähtien. Lisäksi on viitteitä siitä, että tämän operaation takana olevat uhkatekijät ovat ovat aiemmin hyödyntäneet laillisia palveluita, kuten Autodesk A360 Drive ja GitHub, isännöidessään hyötykuormiaan.
Suorittaessaan LNK-tiedosto laukaisee Windows-komentotulkin, joka näyttää väärennetyn PDF-tiedoston vastaanottajalle ja hakee samalla BAT-hyötykuorman nimeltä "c.cmd" samasta WebDAV-palvelimen sijainnista.
Tämä tiedosto, joka tunnetaan nimellä BPyCode-käynnistin, käynnistää Base64-koodatun PowerShell-komennon, joka puolestaan lataa Python-binaarin viralliselta www.python.org-sivustolta suorittaakseen Python-komentosarjan nimeltä BPyCode.
Muita haitallisia työkaluja osana hyökkäystä
BPyCode toimii latausohjelmana dynaamiselle linkkikirjastolle ('executor.dll') ja suorittaa sen muistissa. DLL saadaan yhdestä verkkotunnuksen nimistä, jotka on luotu DGA:n (domain Generation Algorithm) avulla.
Luodut isäntänimet näyttävät olevan linjassa niiden kanssa, jotka on linkitetty Microsoft Azure Functions -palveluun, palvelimettomaan infrastruktuuriin, jonka avulla operaattorit voivat tässä yhteydessä kätevästi ottaa käyttöön ja kiertää välitysinfrastruktuuriaan. Tarkemmin sanottuna BPyCode hakee suolakurkkutiedoston, joka sisältää kolme kohdetta: toissijaisen Python-latausohjelman, PythonMemoryModule-paketin sisältävän ZIP-arkiston ja toisen ZIP-arkiston, joka sisältää tiedoston "executor.dll".
Tämän jälkeen uusi Python-latausskripti aktivoidaan lataamaan executor.dll, Borland Delphi-pohjainen haittaohjelma, joka tunnetaan myös nimellä ExecutorLoader, muistiin PythonMemoryModulen avulla. ExecutorLoaderin ensisijainen tehtävä on purkaa ja suorittaa AllaSenha injektoimalla se lailliseen mshta.exe-prosessiin.
AllaSenha RAT kerää uhrien pankkitunnuksia
Sen lisäksi, että AllaSenha kerää verkkoselaimiin tallennettuja verkkopankkitunnuksia, sillä on kyky esittää päällekkäisiä ikkunoita, jotka mahdollistavat kaksivaiheisen todennuskoodin (2FA) kaappaamisen ja jopa pakottamaan uhrit skannaamaan QR-koodin valtuuttamaan hyökkääjien aloittaman vilpillisen tapahtuman. .
AllaSenha toimii alkuperäisellä tiedostonimellä Access_PC_Client_dll.dll, joka liittyy erityisesti KL Gorki -projektiin. Tämä pankkihaittaohjelma näyttää yhdistävän elementtejä sekä AllaKoresta että uhkasta, joka tunnetaan nimellä ServerSocket.
Alkuperäiseen LNK-tiedostoon ja AllaSenhaan linkitetyn lähdekoodin syvempi tarkastelu ehdottaa portugalinkielisen bert1m-nimisen henkilön osallistumista haittaohjelman kehittämiseen. Tällä hetkellä ei kuitenkaan ole näyttöä siitä, että he käyttäisivät työkaluja suoraan.
Tutkijat korostavat, että Latinalaisessa Amerikassa toimivat kyberrikolliset osoittavat huomattavaa tuottavuutta kyberrikoskampanjoiden käynnistämisessä. Vaikka niiden ensisijaisena tavoitteena on kohdistaa latinalaisamerikkalaiset henkilöt pankkitietojen varastamiseen, nämä toimijat usein vaarantavat tytäryhtiöiden tai työntekijöiden tietokoneet maailmanlaajuisesti, erityisesti Brasiliassa.
