AllaKore RAT’ın AllaSenha adlı yeni bir çeşidinin, kimlik avı e-postalarını, PDF dosyaları olarak gizlenen kötü amaçlı LNK’yi, Python komut dosyalarını ve Delphi tarafından geliştirilen bir yükleyiciyi içeren çok aşamalı bir enfeksiyon zincirinden yararlanan Brezilya banka hesaplarını hedef aldığı keşfedildi.
Kötü amaçlı yazılım, bankacılık kimlik bilgilerini çalıyor ve Mart 2024’ten bu yana aktif olduğuna inanılan Azure bulut altyapısını kullanarak C2 sunucusuyla iletişim kuruyor.
Araştırmacılar, Nisan 2024’te Brezilyalı kullanıcıları hedef alan bir kimlik avı e-posta kampanyası tespit etti. Bu kampanyada e-postalar, elektronik faturalara (NFS-e) ilişkin bildirimlerin kimliğine bürünüyor ve is.gd tarafından kısaltılmış bağlantılar içeriyor.
All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo
Bağlantılara tıklamak, kullanıcıları one-digital.digital üzerinde barındırılan bir kimlik avı web sitesine yönlendiriyor; bu web, WebDAV URL’sini fatura PDF’sine bağlantı olarak gizleyerek kullanıcıları kötü amaçlı bir dosya indirmeye yönlendiriyor.
Kimlik avı saldırısı, kötü amaçlı bir LNK dosyasını (NotaFiscal.pdf.lnk) bir PDF belgesi olarak gizleyerek kullanıcının güvenini istismar eder ve LNK’ye tıklandığında sahte bir PDF açılır ve bir komut kabuğu komut dosyası yürütülür.
“BPyCode Launcher” olarak adlandırılan BAT dosyası daha sonra base64 kodlu bir PowerShell komut dosyasını başlatır; bu komut Python ikili dosyasını python.org’dan alır ve indirilen Python yorumlayıcısını kullanarak başka bir base64 kodlu Python komut dosyasını (“BPyCode”) çalıştırır.
BPyCode, bir DLL (ExecutorLoader) indiren ve bunu bellekte çalıştıran, ana bilgisayar adları ve bağlantı noktalarının bir listesini oluşturmak için bir etki alanı oluşturma algoritması (DGA) kullanan ve olası kombinasyonlardan birinden bir yük indirmeye çalışan bir Python betiğidir.
İndirilen veriler, ek bir Python yükleyici komut dosyası, PythonMemoryModule içeren bir ZIP arşivi ve ExecutorLoader içeren başka bir ZIP arşivi içeren Pickle5 serileştirilmiş bir sözlüktür.
BPyCode, hedeflenen bilgisayarın işlemci adı Broadwell’i içeriyorsa yürütülmesini durduran bir killswitch mekanizması içerir.
ExecutorLoader, önce mshta.exe’yi rastgele bir dizine kopyalayıp ardından kopyayı başlatırken, yeniden adlandırılmış bir mshta.exe örneğine son bir yükü (AllaSenha gibi) enjekte eden, Delphi tarafından geliştirilmiş bir DLL’dir.
HarfangLab’a göre, daha sonra kaynaklarından UPX paketli bir DLL (son veri) yüklüyor ve mshta.exe işleminde bellek ayırıyor.
Son olarak, son veriyi çalıştırmak için mshta.exe’de bir iş parçacığı oluştururken, daha önce ExecutorLoader aynı işlevselliğe sahip bir yürütülebilir dosya (Execute_dll.exe) olarak da dağıtılıyordu.
AllaKore RAT’ın yeni bir çeşidi olan AllaSenha, C2 iletişimi için Azure bulutundan yararlanmak amacıyla oturum açma kimlik bilgilerini, 2FA belirteçlerini ve QR kodlarını çalmak için Brezilya bankalarını hedefliyor ve benzersiz ana bilgisayar adları oluşturmak için bir Etki Alanı Oluşturma Algoritması (DGA) kullanıyor.
Başlatıldığında, hedeflenen bankalar için kullanıcı tarayıcı verilerini arar ve hiçbir şey bulunamazsa bekleme durumuna girer ve kullanıcı hedeflenen bir banka web sitesi veya uygulamasıyla etkileşime girdiğinde, AllaSenha oturum açma verilerini çıkarır ve belirli bir duruma bağlı olarak 2FA tokenlarını çalmak için sahte pencereler enjekte eder. banka.
Kötü amaçlı LNK dosyaları ve BPyCode başlatıcıları, LNK’nin kötü amaçlı bir BAT dosyasının indirilmesini tetiklemesi nedeniyle Brezilya’daki Microsoft Azure WebDAV sunucularında hazırlanır ve BPyCode başlatıcısı, günlük yük dağıtımı için Azure bulut uygulaması ana bilgisayar adları oluşturmak üzere bir DGA işlevi kullanır.
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.