巴西银行机构已成为一项新活动的目标,该活动传播了适用于 Windows 的 AllaKore 远程访问木马 (RAT) 的专门变体,名为 AllaSenha。此 RAT 旨在窃取访问银行帐户所需的凭据,并利用 Azure 云平台作为其命令和控制 (C2) 基础结构。
在他们的技术分析中,网络安全公司HarfangLab详细介绍了该活动。攻击的目标是巴西银行、布拉德斯科银行、萨夫拉银行、Caixa Econômica Federal、Itaú Unibanco、Sicoob 和 Sicredi 等银行。据信,肇事者使用带有恶意链接的网络钓鱼电子邮件进行初始访问。
感染链通常遵循以下顺序:
1. 攻击始于执行伪装成 WebDAV 服务器上托管的 PDF 文档的 Windows LNK 快捷方式。
2. 快捷方式打开 Windows 命令行界面,显示诱饵 PDF 文档,并下载名为“c.cmd”的 BAT 文件。
3. BAT 文件执行 PowerShell 命令,该命令从官方网站 (python.org) 下载 Python 二进制文件并运行 BPyCode 脚本。
4. BPyCode 脚本下载并执行动态链接库 (executor.dll)。
5. DLL在内存中执行,并将AllaSenha木马注入合法进程“mshta.exe”。
值得注意的是,DLL 是从使用域生成算法 (DGA) 生成的域名之一中提取的。生成的主机名对应于与 Microsoft Azure Functions 服务关联的主机名,这是一种无服务器基础结构,允许操作员轻松部署和管理中间基础结构。
除了从网络浏览器窃取网上银行凭据外,AllaSenha 还可以显示叠加窗口以捕获双因素身份验证 (2FA) 代码,甚至诱骗受害者扫描二维码以批准攻击者发起的欺诈易。
HarfangLab还报告说,所有AllaSenha样本都使用Access_PC_Client_dll.dll作为原始文件名。这个名字出现在 KL Gorki 项目中——一种银行恶意软件,似乎结合了 AllaKore 和 ServerSocket 的组件。
对链接到初始 LNK 文件和 AllaSenha 样本的源代码的进一步分析表明,昵称为 bert1m 的葡萄牙语用户可能参与了恶意软件的开发。但是,目前还没有证据表明他正在积极管理这些工具。
在拉丁美洲活动的网络犯罪分子通常特别擅长制造此类威胁。虽然他们的目标主要是拉丁美洲的居民,但他们经常破坏属于全球公司但由巴西员工或子公司管理的计算机。
相关文章
网友评论(共有 0 条评论)
