巴西银行面临AllaSenha远程访问木马攻击

关键要点

攻击目标：多个巴西银行，包括Banco Safra、Caixa Economica Federal和Banco de Brasil。攻击方式：通过伪造的PDF文件传播Windows LNK文件，启动命令Shell并提取用户凭据。功能危害：支持在线银行凭据的窃取、双因素认证代码的破解以及QR码诱骗。犯罪趋势：拉丁美洲的网络犯罪活动特别频繁，影响范围全球。

日前，一种新型的远程访问木马变种“AllaSenha”被部署，针对巴西的多家银行，包括Banco Safra、Caixa Economica Federal和Banco de Brasil，旨在盗取用户凭据。The Hacker News报道称，攻击流程始于分发伪造的PDF文件，执行后会启动一个命令Shell，打开一个诱饵PDF文件的同时下载一个BAT有效载荷。此载荷最终将触发AllaSenha木马。

根据Harfang Lab的报告，AllaSenha不仅允许在线银行凭据被窃取，还能够破解双因素认证代码和实施QR码扫码诱骗功能。这使得攻击者能够进一步获取用户的敏感信息。

研究人员指出：“在拉丁美洲活动的威胁行为者似乎是网络犯罪活动的一个特别高产的来源。尽管几乎完全针对拉丁美洲的个人窃取银行信息，但这些行为者往往最终会破坏实际上是由巴西的子公司或员工操作的计算机，而这些计算机实际上属于世界各地的公司。”