AllaSenha:威胁巴西银行的移动恶意软件

巴西银行机构已成为复杂网络攻击活动的目标,该活动涉及基于 Windows 的 AllaKore 远程访问木马 (RAT) 的自定义变体,现称为 AllaSenha。本文,我们将深入探讨 AllaSenha 的技术复杂性、其攻击媒介以及它对巴西银行及其客户的影响。

阿拉辛哈运动

AllaSenha 专门用于窃取访问巴西银行账户所需的凭据。该恶意软件利用 Azure 云服务作为其命令和控制 (C2) 基础架构,代表了针对金融机构的网络威胁的重大演变。

目标金融机构

该活动针对巴西主要银行,例如巴西银行、Bradesco、萨夫拉银行、Caixa Econômica Federal、Itaú Unibanco、Sicoob 和 Sicredi。尽管初始感染的确切方法仍不确定,但人们强烈认为包含恶意链接的网络钓鱼邮件是主要载体。

攻击发起和恶意软件部署

攻击通常始于伪装成 PDF 文档的恶意 Windows 快捷方式 (LNK) 文件“NotaFiscal.pdf.lnk”,该文件自 2024 年 3 月起托管在 WebDAV 服务器上。启动后,此 LNK 文件会执行 Windows 命令 shell。该 shell 打开诱饵 PDF 文件以分散收件人的注意力,同时从同一 WebDAV 服务器检索名为“c.cmd”的批处理脚本 (BAT) 有效负载。

BPyCode 启动器

这个 BAT 有效载荷被称为 BPyCode 启动器,它会触发 Base64 编码的 PowerShell 命令。然后,该命令会从官方网站下载 Python 二进制文件,以执行名为 BPyCode 的 Python 脚本。BPyCode 是名为“executor.dll”的动态链接库 (DLL) 的下载器,该动态链接库在内存中运行。该 DLL 是从通过域生成算法 (DGA) 生成的域名中获取的,该算法通常与用于动态基础设施部署的 Microsoft Azure Functions 服务相关联。

多阶段有效载荷投递

BPyCode 脚本检索包含三个组件的 pickle 文件:第二个 Python 加载器脚本、包含 PythonMemoryModule 包的 ZIP 存档以及另一个包含“executor.dll”的 ZIP 存档。新的 Python 加载器脚本使用 PythonMemoryModule 将“executor.dll”(一种名为 ExecutorLoader 的基于 Borland Delphi 的恶意软件)直接加载到内存中。ExecutorLoader 的主要作用是通过将 AllaSenha 注入合法的 mshta.exe 进程来解码和执行 AllaSenha。

凭证盗窃和双因素身份验证绕过

AllaSenha 的主要目标是从网络浏览器窃取网上银行凭证。此外,它还可以显示覆盖窗口以捕获双因素身份验证 (2FA) 代码。它甚至可以欺骗受害者扫描二维码以批准攻击者发起的欺诈交易。这种复杂的方法使恶意软件能够绕过标准安全措施,对银行安全构成严重风险。

链接至 KL Gorki 项目

所有 AllaSenha 样本都使用文件名“Access_PC_Client_dll.dll”。此文件名还与 KL Gorki 项目有关,该项目是一个结合了 AllaKore 和 ServerSocket 组件的银行恶意软件。此外,一位名为bert1m的葡萄牙语用户已被确定为该恶意软件的潜在开发者,尽管没有确凿证据表明他们与其操作有关。

更广泛的影响和区域趋势

AllaSenha 活动凸显了源自拉丁美洲的网络犯罪的广泛趋势。该地区的网络犯罪分子似乎特别擅长发起窃取银行信息的活动。虽然他们的主要目标是拉丁美洲的个人,但他们经常入侵由巴西的跨国公司子公司或员工运营的系统,从而扩大其全球影响力。

该地区的其他银行木马

AllaSenha 的出现是拉丁美洲银行木马攻击模式的一部分。例如,Forcepoint 最近详细介绍了恶意垃圾邮件活动,该活动分发了另一种银行木马 Casbaneiro(又名 Metamorfo 和 Ponteiro),旨在窃取受害者的财务信息。这种恶意软件通过电子邮件中的 HTML 附件分发,诱使用户执行恶意代码,导致数据泄露。

Android 银行木马:平行威胁

Windows 并不是唯一受到攻击的平台。还有一场涉及 Anatsa(TeaBot 和 Toddler)的 Android 银行恶意软件活动。这些攻击利用伪装成合法生产力工具上传到 Google Play Store 的诱饵应用程序。安装后,这些应用程序会使用覆盖和可访问性技术窃取敏感的银行凭据。

AllaSenha 活动凸显了针对金融机构的网络威胁日益复杂化和区域化。随着网络犯罪分子不断改进其手段并扩大其影响范围,银行及其客户采取强有力的安全措施变得越来越重要。意识和警惕性仍然是抵御这些不断演变的威胁的关键防御手段。

由 Willa
May 31, 2024
Trojan
汉语
May 31, 2024
Trojan

热门帖子

什么是 OperaGXSetup.exe 文件?它是恶意的吗?

11 months前

Eporner.com 及其过多的弹窗为何会带来风险

12 days前

请注意:有人将你添加为他们的恢复电子邮件诈骗

10 months前

HackTool:Win32/Crack:可能严重损害您的系统的恶意威胁

7 months前

潜在的严重威胁:Trojan:Win32/Suschil!rfn

19 days前

Packunwan 木马威胁是什么以及它如何影响您的计算机

11 months前
汉语
正在加载...

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

首页

产品

Cyclonis Password Manager Cyclonis World Time

支持

帮助 常见问题 Downloads 咨询和支持

公司

关于我们 联系我们 报告滥用

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 隐私政策 Cookie政策 Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows 是 Microsoft 在美国和其他国家/地区注册的商标。
Mac、iPhone、iPad 和 App Store 是 Apple Inc. 在美国和其他国家/地区注册的商标。
iOS 是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
Android 和 Google Play 是 Google LLC 的商标。