AllaSenha MobileMalware
Le banche brasiliane si trovano ad affrontare un nuovo assalto poiché una nuova campagna introduce un Trojan di accesso remoto (RAT) denominato AllaSenha. Questo malware è progettato su misura per rubare le credenziali cruciali per l'accesso al conto bancario brasiliano, utilizzando il cloud di Azure come infrastruttura di comando e controllo (C2). Gli analisti che esaminano attentamente questa minaccia hanno affermato la sua somiglianza con un'iterazione personalizzata del malware mobile AllaKore basato su Windows.
Importanti istituti bancari presi di mira in questa offensiva rivelata comprendono Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob e Sicredi. Anche se la modalità precisa di accesso iniziale non è confermata, alcuni indizi suggeriscono l'utilizzo di link minacciosi all'interno delle comunicazioni di phishing.
Sommario
La fase iniziale della catena di attacco che consegna AllaSenha RAT
L'attacco inizia con un file ingannevole di collegamento a Windows (LNK) che si presenta come un documento PDF ('NotaFiscal.pdf.lnk'), ospitato su un server WebDAV almeno da marzo 2024. Inoltre, ci sono indicazioni che gli autori delle minacce dietro questa operazione hanno precedentemente sfruttato servizi legittimi come Autodesk A360 Drive e GitHub per ospitare i propri payload.
Al momento dell'esecuzione, il file LNK attiva una shell di comandi di Windows, che visualizza un file PDF falso al destinatario mentre recupera anche un payload BAT denominato "c.cmd" dalla stessa posizione del server WebDAV.
Conosciuto come launcher BPyCode, questo file avvia un comando PowerShell con codifica Base64, che a sua volta scarica il binario Python dal sito ufficiale www.python.org per eseguire uno script Python denominato BPyCode.
Ulteriori strumenti dannosi utilizzati come parte dell'attacco
BPyCode funge da downloader per una libreria a collegamento dinamico ('executor.dll') e la esegue in memoria. La DLL è ottenuta da uno dei nomi di dominio generati tramite un algoritmo di generazione di domini (DGA).
I nomi host generati sembrano allinearsi con quelli collegati al servizio Funzioni di Microsoft Azure, un'infrastruttura serverless che, in questo contesto, consente agli operatori di distribuire e ruotare comodamente la propria infrastruttura di staging. Nel dettaglio, BPyCode recupera un file pickle contenente tre elementi: uno script di caricamento Python secondario, un archivio ZIP contenente il pacchetto PythonMemoryModule e un altro archivio ZIP contenente "executor.dll".
Successivamente, il nuovo script di caricamento Python viene attivato per caricare in memoria "executor.dll", un malware basato su Borland Delphi, noto anche come ExecutorLoader, utilizzando PythonMemoryModule. La funzione principale di ExecutorLoader prevede la decodifica e l'esecuzione di AllaSenha inserendolo in un processo mshta.exe legittimo.
Il RAT AllaSenha raccoglie le credenziali bancarie delle vittime
Oltre a raccogliere credenziali bancarie online archiviate nei browser Web, AllaSenha possiede la capacità di presentare finestre sovrapposte, consentendo l'acquisizione di codici di autenticazione a due fattori (2FA) e persino costringendo le vittime a scansionare un codice QR per autorizzare una transazione fraudolenta avviata dagli aggressori .
AllaSenha opera con il nome file originale Access_PC_Client_dll.dll, una designazione associata in particolare al progetto KL Gorki. Questo malware bancario sembra unire elementi di AllaKore e di una minaccia nota come ServerSocket.
Un esame più approfondito del codice sorgente collegato al file LNK iniziale e di AllaSenha suggerisce il coinvolgimento di un individuo di lingua portoghese di nome bert1m nello sviluppo del malware. Tuttavia, attualmente non esistono prove che indichino il funzionamento diretto degli strumenti.
I ricercatori sottolineano che i criminali informatici che operano in America Latina dimostrano una notevole produttività nel lanciare campagne di criminalità informatica. Sebbene il loro obiettivo principale sia prendere di mira individui latino-americani per rubare informazioni bancarie, questi autori spesso compromettono i computer gestiti da filiali o dipendenti in tutto il mondo, in particolare in Brasile.
