AllaSenha Mobil Kötü Amaçlı Yazılım
Yeni bir kampanyanın AllaSenha adlı Uzaktan Erişim Truva Atı'nı (RAT) tanıtmasıyla Brezilya bankaları yeni bir saldırıyla karşı karşıya. Bu kötü amaçlı yazılım, Azure bulutunu Komuta ve Kontrol (C2) altyapısı olarak kullanarak, Brezilya banka hesabı erişimi için hayati önem taşıyan kimlik bilgilerini çalmak üzere tasarlandı. Bu tehdidi inceleyen analistler, bunun Windows tabanlı AllaKore mobil kötü amaçlı yazılımının özelleştirilmiş bir versiyonuna benzerliğini doğruladılar.
Bu açık saldırıda hedef alınan önemli bankacılık kurumları Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob ve Sicredi'yi kapsıyor. Kesin ilk erişim yöntemi henüz doğrulanmamış olsa da, belirtiler kimlik avı iletişimlerinde tehdit edici bağlantıların kullanıldığını gösteriyor.
İçindekiler
AllaSenha RAT Sağlayan Saldırı Zincirinin İlk Aşaması
Saldırı, en az Mart 2024'ten bu yana bir WebDAV sunucusunda barındırılan, PDF belgesi ('NotaFiscal.pdf.lnk') gibi görünen yanıltıcı bir Windows kısayol (LNK) dosyasıyla başlıyor. yüklerini barındırmak için daha önce Autodesk A360 Drive ve GitHub gibi meşru hizmetlerden yararlandılar.
LNK dosyası yürütüldüğünde, alıcıya sahte bir PDF dosyası görüntüleyen ve aynı WebDAV sunucu konumundan 'c.cmd' adlı bir BAT yükünü getiren bir Windows komut kabuğunu tetikler.
BPyCode başlatıcısı olarak bilinen bu dosya, Base64 kodlu bir PowerShell komutunu başlatır ve bu komut, BPyCode adlı bir Python betiğini yürütmek için resmi www.python.org sitesinden Python ikili dosyasını indirir.
Saldırının Bir Parçası Olarak Kullanılan Ek Zararlı Araçlar
BPyCode, dinamik bağlantı kitaplığı ('executor.dll') için indirici görevi görür ve onu bellekte çalıştırır. DLL, bir alan oluşturma algoritması (DGA) aracılığıyla oluşturulan alan adlarından birinden elde edilir.
Oluşturulan ana bilgisayar adları, bu bağlamda operatörlerin hazırlama altyapılarını uygun şekilde dağıtmalarına ve döndürmelerine olanak tanıyan sunucusuz bir altyapı olan Microsoft Azure İşlevleri hizmetine bağlı olanlarla uyumlu görünüyor. Ayrıntılı olarak, BPyCode üç öğe içeren bir turşu dosyasını alır: ikincil bir Python yükleyici komut dosyası, PythonMemoryModule paketini içeren bir ZIP arşivi ve 'executor.dll'yi içeren başka bir ZIP arşivi.
Daha sonra, yeni Python yükleyici komut dosyası, ExecutorLoader olarak da bilinen Borland Delphi tabanlı bir kötü amaçlı yazılım olan 'executor.dll'yi PythonMemoryModule kullanılarak belleğe yüklemek için etkinleştirilir. ExecutorLoader'ın birincil işlevi, AllaSenha'nın meşru bir mshta.exe işlemine enjekte edilerek kodunun çözülmesini ve çalıştırılmasını içerir.
AllaSenha RAT, Mağdurların Bankacılık Kimlik Bilgilerini Topluyor
AllaSenha, Web tarayıcılarında saklanan çevrimiçi bankacılık kimlik bilgilerini toplamanın yanı sıra, iki faktörlü kimlik doğrulama (2FA) kodlarının yakalanmasına olanak tanıyan ve hatta kurbanları, saldırganlar tarafından başlatılan sahte bir işlemi yetkilendirmek için bir QR kodunu taramaya zorlayan katman pencereleri sunma yeteneğine de sahiptir. .
AllaSenha, özellikle KL Gorki projesiyle ilişkilendirilen bir isim olan Access_PC_Client_dll.dll orijinal dosya adı altında çalışır. Bu bankacılık kötü amaçlı yazılımının hem AllaKore'dan hem de ServerSocket olarak bilinen bir tehditten gelen unsurları birleştirdiği görülüyor.
İlk LNK dosyası ve AllaSenha ile bağlantılı kaynak kodun daha derinlemesine incelenmesi, kötü amaçlı yazılımın geliştirilmesinde bert1m adında Portekizce konuşan bir kişinin rol oynadığını gösteriyor. Ancak şu anda aletlerin doğrudan çalıştırıldığını gösteren hiçbir kanıt yok.
Araştırmacılar, Latin Amerika'da faaliyet gösteren siber suçluların, siber suç kampanyalarını başlatma konusunda kayda değer bir üretkenlik sergilediklerini vurguluyor. Ana odak noktaları Latin Amerikalı bireyleri bankacılık bilgilerini çalmak üzere hedeflemek olsa da, bu aktörler sıklıkla dünya çapında, özellikle Brezilya'da, yan kuruluşlar veya çalışanlar tarafından işletilen bilgisayarları tehlikeye atıyor.
