Multi-License Discount Quote
脅威データベース Mobile Malware AllaSenha モバイル マルウェア

AllaSenha モバイル マルウェア

Mobile Malware, Banking TrojanMezoまで
翻訳内容:
日本語

ブラジルの銀行は、AllaSenha と呼ばれるリモート アクセス トロイの木馬 (RAT) を導入する新しいキャンペーンにより、新たな猛攻撃に直面しています。このマルウェアは、Azure クラウドをコマンド アンド コントロール (C2) インフラストラクチャとして利用し、ブラジルの銀行口座へのアクセスに不可欠な認証情報を盗むようにカスタマイズされています。この脅威を精査しているアナリストは、Windows ベースの AllaKore モバイル マルウェアのカスタマイズされた反復に類似していることを確認しています。

この攻撃で標的となった有名な銀行機関には、Banco do Brasil、Bradesco、Banco Safra、Caixa Econômica Federal、Itaú Unibanco、Sicoob、Sicredi などがあります。正確な初期アクセス方法は未確認ですが、フィッシング通信内で脅迫的なリンクが使用されたことを示唆する兆候があります。

AllaSenha RAT を配信する攻撃チェーンの初期段階

この攻撃は、少なくとも 2024 年 3 月から WebDAV サーバーでホストされている PDF ドキュメント (「NotaFiscal.pdf.lnk」) を装った偽の Windows ショートカット (LNK) ファイルから始まります。さらに、この操作の背後にいる脅威アクターは、以前にも Autodesk A360 Drive や GitHub などの正当なサービスを悪用してペイロードをホストしていたという兆候があります。

実行されると、LNK ファイルは Windows コマンド シェルを起動し、受信者に偽の PDF ファイルを表示するとともに、同じ WebDAV サーバーの場所から「c.cmd」という名前の BAT ペイロードを取得します。

BPyCode ランチャーとして知られるこのファイルは、Base64 でエンコードされた PowerShell コマンドを開始し、次に公式の www.python.org サイトから Python バイナリをダウンロードして、BPyCode という名前の Python スクリプトを実行します。

攻撃の一環として展開された追加の有害ツール

BPyCode は、ダイナミック リンク ライブラリ ('executor.dll') のダウンローダーとして機能し、メモリ内でそれを実行します。DLL は、ドメイン生成アルゴリズム (DGA) によって生成されたドメイン名の 1 つから取得されます。

生成されたホスト名は、Microsoft Azure Functions サービスにリンクされているホスト名と一致しているようです。このコンテキストでは、サーバーレス インフラストラクチャにより、オペレーターはステージング インフラストラクチャを簡単に展開およびローテーションできます。詳細には、BPyCode は、セカンダリ Python ローダー スクリプト、PythonMemoryModule パッケージを含む ZIP アーカイブ、および「executor.dll」を含む別の ZIP アーカイブの 3 つの項目を含む pickle ファイルを取得します。

その後、新しい Python ローダー スクリプトが起動され、PythonMemoryModule を使用して、Borland Delphi ベースのマルウェア (ExecutorLoader とも呼ばれる) である「executor.dll」がメモリにロードされます。ExecutorLoader の主な機能は、AllaSenha を正当な mshta.exe プロセスに挿入してデコードおよび実行することです。

AllaSenha RAT が被害者の銀行認証情報を収集

AllaSenha は、Web ブラウザーに保存されているオンライン バンキングの認証情報を収集するだけでなく、オーバーレイ ウィンドウを表示して 2 要素認証 (2FA) コードの取得を可能にし、さらには攻撃者が開始した不正なトランザクションを承認するために被害者に QR コードをスキャンさせる機能も備えています。

AllaSenha は、元のファイル名 Access_PC_Client_dll.dll で動作します。この名前は、KL Gorki プロジェクトに特に関連付けられています。このバンキング マルウェアは、 AllaKoreと ServerSocket として知られる脅威の両方の要素を融合しているようです。

最初の LNK ファイルと AllaSenha にリンクされたソース コードを詳しく調査すると、bert1m というポルトガル語を話す人物がマルウェアの開発に関与している可能性が示唆されます。ただし、現時点では、彼らがツールを直接操作したことを示す証拠はありません。

研究者らは、ラテンアメリカで活動するサイバー犯罪者が、サイバー犯罪キャンペーンの展開において注目すべき生産性を発揮していることを指摘しています。彼らの主な目的は、ラテンアメリカの個人を標的にして銀行情報を盗むことですが、これらの犯罪者は、特にブラジルにおいて、世界中の子会社や従業員が運営するコンピューターを頻繁に侵害しています。

トレンド

Veza ランサムウェア

Ransomware
Veza は、潜在的なマルウェアの脅威の調査中に発見されたランサムウェアです。研究者は、Veza がさまざまなファイル タイプを暗号化し、元のファイル名に「.veza」拡張子を追加して変更する機能を持っていることを発見しました。暗号化後、ランサムウェアは被害者への身代金要求メモとして「_README.txt」という名前のテキスト ファイルをドロップします。その動作の例として、Veza はファ...

ユーエスブログ

Rogue Websites, Adware
Eusblog.com を調査したところ、サイバーセキュリティの専門家は、このサイトが訪問者を誘導して通知の送信を許可させるように設計された詐欺的なウェブサイトであると判断しました。詐欺的なコンテンツ以外にも、eusblog.com は強制リダイレクトを開始し、ユーザーを他の疑わしいウェブサイトに誘導する疑いがあります。したがって、ユーザーは eusblog.com やその他の同様の不正なサ...

データ収集

Mac Malware, Adware, 望ましくない可能性のあるプログラム
サイバーセキュリティ研究者は、侵入的で信頼できないソフトウェアを調査しているときに、DataCollection アプリケーションを発見しました。詳細な分析により、このアプリケーションは一般的なアドウェアと同様に機能し、不要な広告を表示し、ユーザー データを収集する可能性があることが判明しました。さらに、DataCollection は特に Mac デバイスをターゲットにしており、安全でない...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
83,554
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
65,474
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
61,532
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...