AllaSenha Mobile Malware
Os bancos brasileiros estão enfrentando um novo ataque à medida que uma nova campanha introduz um Trojan de Acesso Remoto (RAT) chamado AllaSenha. Esse malware é adaptado para roubar credenciais cruciais para o acesso a contas bancárias brasileiras, utilizando a nuvem Azure como sua infraestrutura de Comando e Controle (C2). Os analistas que examinam esta ameaça afirmaram a sua semelhança com uma iteração personalizada do malware móvel AllaKore baseado no Windows.
As instituições bancárias notáveis visadas nesta ofensiva revelada incluem o Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob e Sicredi. Embora o método preciso de acesso inicial permaneça não confirmado, as indicações sugerem a utilização de links ameaçadores nas comunicações de phishing.
Índice
O Estágio Inicial da Cadeia de Ataque que Instala o AllaSenha RAT
O ataque começa com um arquivo de atalho enganoso do Windows (LNK) que se apresenta como um documento PDF ('NotaFiscal.pdf.lnk'), hospedado em um servidor WebDAV desde pelo menos março de 2024. Além disso, há indícios de que os atores da ameaça por trás desta operação já exploraram serviços legítimos, como Autodesk A360 Drive e GitHub, para hospedar suas cargas.
Após execução, o arquivo LNK aciona um shell de comando do Windows, que exibe um arquivo PDF falso ao destinatário, ao mesmo tempo que busca uma carga BAT chamada 'c.cmd' do mesmo local do servidor.
Conhecido como iniciador BPyCode, esse arquivo inicia um comando PowerShell codificado em Base64, que por sua vez baixa o binário Python do site oficial www.python.org para executar um script Python chamado BPyCode.
Ferramentas Prejudiciais Adicionais Implementadas como Parte do Ataque
BPyCode serve como downloader para uma biblioteca de vínculo dinâmico ('executor.dll') e a executa na memória. A DLL é obtida de um dos nomes de domínio gerados por meio de um algoritmo de geração de domínio (DGA).
Os nomes de host gerados parecem estar alinhados com aqueles vinculados ao serviço Microsoft Azure Functions, uma infraestrutura sem servidor que, neste contexto, permite que as operadoras implantem e alternem convenientemente sua infraestrutura de teste. Em detalhes, BPyCode recupera um arquivo pickle contendo três itens: um script de carregamento Python secundário, um arquivo ZIP contendo o pacote PythonMemoryModule e outro arquivo ZIP contendo 'executor.dll'.
Posteriormente, o novo script carregador Python é ativado para carregar 'executor.dll', um malware baseado em Borland Delphi, também conhecido como ExecutorLoader, na memória usando PythonMemoryModule. A função principal do ExecutorLoader envolve decodificar e executar AllaSenha, injetando-o em um processo mshta.exe legítimo.
O AllaSenha RAT Coleta as Credenciais Bancárias das Vítimas
Além de coletar credenciais bancárias on-line armazenadas em navegadores da Web, o AllaSenha possui a capacidade de apresentar janelas sobrepostas, permitindo a captura de códigos de autenticação de dois fatores (2FA) e até coagindo as vítimas a escanear um código QR para autorizar uma transação fraudulenta iniciada pelos invasores.
AllaSenha opera sob o nome de arquivo original Access_PC_Client_dll.dll, uma designação notavelmente associada ao projeto KL Gorki. Este malware bancário parece amalgamar elementos do AllaKore e de uma ameaça conhecida como ServerSocket.
Um exame mais aprofundado do código-fonte vinculado ao arquivo LNK inicial e ao AllaSenha sugere o envolvimento de um indivíduo de língua portuguesa chamado bert1m no desenvolvimento do malware. No entanto, atualmente não há evidências que indiquem o funcionamento direto das ferramentas.
Os pesquisadores destacam que os cibercriminosos que operam na América Latina demonstram uma produtividade notável no lançamento de campanhas de crimes cibernéticos. Embora o seu foco principal resida em atingir indivíduos latino-americanos para roubar informações bancárias, estes intervenientes frequentemente comprometem computadores operados por subsidiárias ou funcionários em todo o mundo, especialmente no Brasil.
