Μια νέα κακόβουλη καμπάνια που διανέμει το malware AllaSenha (μια παραλλαγή AllaKore trojan) στοχεύει τράπεζες στη Βραζιλία.
Το κακόβουλο λογισμικό “στοχεύει συγκεκριμένα στην κλοπή διαπιστευτηρίων που απαιτούνται για την πρόσβαση σε τραπεζικούς λογαριασμούς της Βραζιλίας και αξιοποιεί το Azure cloud ως υποδομή command-and-control (C2)“, δήλωσε η γαλλική εταιρεία κυβερνοασφάλειας HarfangLab.
Στους στόχους της καμπάνιας περιλαμβάνονται τράπεζες της Βραζιλίας, όπως η Banco do Brasil, η Bradesco, η Banco Safra, η Caixa Econômica Federal, η Itaú Unibanco, η Sicoob και η Sicredi.
Αν και δεν είναι πλήρως επιβεβαιωμένο, πιστεύεται ότι η επίθεση ξεκινά με την αποστολή phishing emails με κακόβουλους συνδέσμους.
Δείτε επίσης: Google Play: Anatsa banking trojan και κακόβουλες εφαρμογές με εκατ. λήψεις
Στέλνεται ένα κακόβουλο Windows shortcut (LNK) file, που μοιάζει με έγγραφο PDF (“NotaFiscal.pdf.lnk”) και φιλοξενείται σε έναν WebDAV server τουλάχιστον από τον Μάρτιο του 2024. Επίσης, πιστεύεται ότι προηγουμένως, οι ίδιοι επιτιθέμενοι έκαναν κατάχρηση νόμιμων υπηρεσιών όπως το Autodesk A360 Drive και το GitHub για να φιλοξενήσουν τα κακόβουλα payloads.
Το αρχείο LNK εκτελεί ένα Windows command shell, που έχει σχεδιαστεί για να ανοίγει ένα αρχείο PDF – δόλωμα, ενώ ταυτόχρονα ανακτά ένα BAT payload με το όνομα “c.cmd” από την τοποθεσία του WebDAV server.
Με το όνομα BPyCode launcher, το αρχείο εκκινεί μια εντολή PowerShell με κωδικοποίηση Base64, η οποία στη συνέχεια κατεβάζει το Python binary από τον επίσημο ιστότοπο www.python[.]org, προκειμένου να εκτελεστεί ένα Python script με την κωδική ονομασία BPyCode.
Το BPyCode, από την πλευρά του, λειτουργεί ως πρόγραμμα λήψης για dynamic-link library (“executor.dll”) και την εκτελεί στη μνήμη.
Δείτε επίσης: Το Android banking trojan Antidot εμφανίζεται σαν ενημέρωση του Google Play
“Τα δημιουργημένα hostnames φαίνεται να ταιριάζουν με αυτά που σχετίζονται με την υπηρεσία Microsoft Azure Functions και επιτρέπεται στους χειριστές να αναπτύξουν και να κάνουν rotate το staging infrastructure τους“, δήλωσε η εταιρεία.
Συγκεκριμένα, το BPyCode ανακτά ένα αρχείο pickle που περιλαμβάνει τρία αρχεία: Ένα δεύτερο Python loader script, ένα αρχείο ZIP που περιέχει το πακέτο PythonMemoryModule και ένα άλλο αρχείο ZIP που περιέχει το “executor.dll”.
Το νέο Python loader script εκκινείται για να φορτώσει στη μνήμη το executor.dll, (ένα κακόβουλο λογισμικό γνωστό και ως ExecutorLoader), χρησιμοποιώντας το PythonMemoryModule. Το ExecutorLoader αποκωδικοποιεί και εκτελεί το AllaSenha, εισάγοντάς το σε μια νόμιμη διεργασία mshta.exe.
Εκτός από την κλοπή credentials διαδικτυακών τραπεζικών λογαριασμών, το AllaSenha κλέβει και κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA), εμφανίζοντας ψεύτικα σχετικά παράθυρα στην οθόνη. Επίσης, μπορεί να ξεγελάσει ένα θύμα ώστε να σαρώσει έναν κωδικό QR για να εγκρίνει μια δόλια συναλλαγή που ξεκίνησαν οι επιτιθέμενοι.
“Όλα τα δείγματα AllaSenha […] χρησιμοποιούν το Access_PC_Client_dll.dll ως αρχικό όνομα αρχείου“, σημείωσε η HarfangLab. “Αυτό το όνομα μπορεί να βρεθεί κυρίως στο KL Gorki project, ένα banking malware που φαίνεται να συνδυάζει στοιχεία τόσο του AllaKore όσο και του ServerSocket“.
Περαιτέρω ανάλυση του πηγαίου κώδικα, που σχετίζεται με το αρχικό αρχείο LNK και τα δείγματα AllaSenha, αποκάλυψε ότι ένας χρήστης που μιλάει Πορτογαλικά, ονόματι bert1m, πιθανότατα συνδέεται με την ανάπτυξη του κακόβουλου λογισμικού.
Δείτε επίσης: Το Grandoreiro banking trojan “επέστρεψε” πιο ισχυρό
Προστασία από banking malware
- Η εγκατάσταση antivirus λογισμικών είναι ουσιαστική για την προστασία της συσκευής σας. Αυτά τα λογισμικά μπορούν να αναγνωρίσουν και να απομακρύνουν το malware πριν αυτό προκαλέσει ζημιά.
- Είναι σημαντικό να κρατάτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή σας από το malware.
- Αποφύγετε την εγκατάσταση εφαρμογών από πηγές τρίτων. Οι εφαρμογές αυτές δεν έχουν υποστεί τον ίδιο έλεγχο ασφαλείας με αυτές στα επίσημα καταστήματα.
- Προσέξτε τις άδειες που ζητούν οι εφαρμογές. Εάν μια εφαρμογή ζητά πρόσβαση σε προσωπικές πληροφορίες που δεν φαίνεται να χρειάζεται, μπορεί να είναι καλύτερο να μην την εγκαταστήσετε.
- Προσέχετε τα μηνύματα phishing που μπορεί να προσπαθούν να σας παρακινήσουν να κατεβάσετε malware. Αυτά τα μηνύματα μπορεί να φαίνονται ότι προέρχονται από νόμιμες πηγές, αλλά συχνά περιέχουν συνδέσμους ή συνημμένα που μπορούν να εγκαταστήσουν malware στη συσκευή σας.
- Τέλος, είναι σημαντικό να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό μπορεί να βοηθήσει στην αποκατάσταση των πληροφοριών σας εάν η συσκευή σας προσβληθεί από malware (π.χ. AllaSenha).
 στοχεύει τράπεζες στη Βραζιλία.){kind=link}