AllaSenha Mobile Malware
Els bancs brasilers s'enfronten a un nou atac quan una nova campanya introdueix un troià d'accés remot (RAT) anomenat AllaSenha. Aquest programari maliciós està dissenyat per robar les credencials crucials per a l'accés al compte bancari brasiler, utilitzant el núvol Azure com a infraestructura de comandament i control (C2). Els analistes que estudien aquesta amenaça han afirmat la seva semblança amb una iteració personalitzada del programari maliciós mòbil AllaKore basat en Windows.
Les entitats bancàries destacades objecte d'aquesta ofensiva revelada inclouen Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob i Sicredi. Tot i que el mètode d'accés inicial precís continua sense confirmar, les indicacions suggereixen la utilització d'enllaços amenaçadors dins de les comunicacions de pesca.
Taula de continguts
L'etapa inicial de la cadena d'atac que ofereix AllaSenha RAT
L'atac comença amb un fitxer de drecera de Windows (LNK) enganyós que es presenta com un document PDF ('NotaFiscal.pdf.lnk'), allotjat en un servidor WebDAV des d'almenys el març de 2024. A més, hi ha indicis que els actors de l'amenaça darrere d'aquesta operació han explotat anteriorment serveis legítims com Autodesk A360 Drive i GitHub per allotjar les seves càrregues útils.
Un cop s'executa, el fitxer LNK activa un intèrpret d'ordres de Windows, que mostra un fitxer PDF fals al destinatari alhora que recull una càrrega útil BAT anomenada "c.cmd" des de la mateixa ubicació del servidor WebDAV.
Conegut com el llançador BPyCode, aquest fitxer inicia una ordre PowerShell codificada en Base64, que al seu torn baixa el binari de Python del lloc oficial www.python.org per executar un script de Python anomenat BPyCode.
Eines addicionals perjudicials desplegades com a part de l'atac
BPyCode serveix com a descàrrega d'una biblioteca d'enllaços dinàmics ('executor.dll') i l'executa a la memòria. El DLL s'obté d'un dels noms de domini generats mitjançant un algorisme de generació de domini (DGA).
Sembla que els noms d'amfitrió generats s'alineen amb els vinculats al servei Microsoft Azure Functions, una infraestructura sense servidor que, en aquest context, permet als operadors desplegar i rotar còmodament la seva infraestructura de prova. En detall, BPyCode recupera un fitxer pickle que conté tres elements: un script secundari de càrrega de Python, un arxiu ZIP que conté el paquet PythonMemoryModule i un altre arxiu ZIP que conté "executor.dll".
Posteriorment, s'activa el nou script del carregador de Python per carregar 'executor.dll', un programari maliciós basat en Borland Delphi, també conegut com a ExecutorLoader, a la memòria mitjançant PythonMemoryModule. La funció principal de l'ExecutorLoader consisteix a descodificar i executar AllaSenha injectant-lo en un procés legítim mshta.exe.
L'AllaSenha RAT recull les credencials bancàries de les víctimes
A part de recollir les credencials de banca en línia emmagatzemades als navegadors web, AllaSenha té la capacitat de presentar finestres superposades, permetent la captura de codis d'autenticació de dos factors (2FA) i fins i tot obligant a les víctimes a escanejar un codi QR per autoritzar una transacció fraudulenta iniciada pels atacants. .
AllaSenha opera amb el nom de fitxer original Access_PC_Client_dll.dll, una designació associada especialment al projecte KL Gorki. Aquest programari maliciós bancari sembla fusionar elements tant d' AllaKore com d'una amenaça coneguda com ServerSocket.
Un escrutini més profund del codi font vinculat al fitxer LNK inicial i AllaSenha suggereix la participació d'una persona de parla portuguesa anomenada bert1m en el desenvolupament del programari maliciós. Tanmateix, actualment no hi ha proves que indiquin el seu funcionament directe de les eines.
Els investigadors destaquen que els ciberdelinqüents que operen a Llatinoamèrica demostren una productivitat notable en llançar campanyes de ciberdelinqüència. Tot i que el seu objectiu principal es centra en els individus llatinoamericans per robar informació bancària, aquests actors sovint comprometen els ordinadors operats per filials o empleats a tot el món, especialment al Brasil.
