详细内容或原文请订阅后点击阅览
AllaSenha 木马:针对巴西银行系统的新一波攻击
新银行木马的攻击细节和操作方法。
来源:安全实验室新闻频道巴西银行混乱:AllaSenha 将您的计算机变成盗钱工具
新型银行木马的攻击细节和操作方法。
巴西银行机构是一项新活动的目标,该活动旨在分发 Windows 版 AllaKore 远程访问木马的特殊变体(称为 AllaSenha)。 RAT 木马旨在窃取访问银行账户所需的凭据,并使用 Azure 云平台作为 C2 基础设施。
老鼠 C2信息安全公司 HarfangLab 在其技术分析中详细描述了该活动。此次攻击涉及巴西银行、Bradesco、Banco Safra、Caixa Econômica Federal、Itaú Unibanco、Sicoob 和 Sicredi 等银行。据信攻击者使用带有恶意链接的网络钓鱼消息进行初始访问。
技术分析一般来说,感染链是这样的:
- 攻击首先启动伪装成托管在 WebDAV 服务器上的 PDF 文档的 Windows LNK 快捷方式;该快捷方式打开 Windows 命令 shell,显示虚拟 PDF 文档,并加载 BAT 文件“c.cmd”; BAT文件运行PowerShell命令,从官方网站(python.org)下载Python二进制文件并执行BPyCode脚本; BPyCode脚本加载并运行动态库(executor.dll);该库在内存中运行,并将 AllaSenha 木马注入合法的“mshta.exe”进程中。
AllaSenha 感染链
KL高尔基