AllaSenha malware móvil
Los bancos brasileños se enfrentan a un nuevo ataque a medida que una nueva campaña introduce un troyano de acceso remoto (RAT) denominado AllaSenha. Este malware está diseñado para robar las credenciales cruciales para el acceso a cuentas bancarias brasileñas, utilizando la nube de Azure como infraestructura de comando y control (C2). Los analistas que examinan esta amenaza han afirmado su parecido con una versión personalizada del malware móvil AllaKore basado en Windows.
Las instituciones bancarias notables objetivo de esta ofensiva revelada incluyen Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob y Sicredi. Si bien el método preciso de acceso inicial aún no está confirmado, los indicios sugieren la utilización de enlaces amenazantes dentro de las comunicaciones de phishing.
Tabla de contenido
La etapa inicial de la cadena de ataque que entrega AllaSenha RAT
El ataque comienza con un archivo engañoso de acceso directo de Windows (LNK) que se hace pasar por un documento PDF ('NotaFiscal.pdf.lnk'), alojado en un servidor WebDAV desde al menos marzo de 2024. Además, hay indicios de que los actores de amenazas detrás de esta operación han explotado previamente servicios legítimos como Autodesk A360 Drive y GitHub para alojar sus cargas útiles.
Tras la ejecución, el archivo LNK activa un shell de comandos de Windows, que muestra un archivo PDF falso al destinatario y al mismo tiempo recupera una carga útil BAT llamada 'c.cmd' de la misma ubicación del servidor WebDAV.
Conocido como iniciador BPyCode, este archivo inicia un comando PowerShell codificado en Base64, que a su vez descarga el binario de Python del sitio oficial www.python.org para ejecutar un script de Python llamado BPyCode.
Herramientas dañinas adicionales implementadas como parte del ataque
BPyCode sirve como descargador de una biblioteca de vínculos dinámicos ('executor.dll') y la ejecuta en la memoria. La DLL se obtiene de uno de los nombres de dominio generados mediante un algoritmo de generación de dominio (DGA).
Los nombres de host generados parecen alinearse con los vinculados al servicio Microsoft Azure Functions, una infraestructura sin servidor que, en este contexto, permite a los operadores implementar y rotar convenientemente su infraestructura provisional. En detalle, BPyCode recupera un archivo pickle que contiene tres elementos: un script de carga Python secundario, un archivo ZIP que contiene el paquete PythonMemoryModule y otro archivo ZIP que contiene 'executor.dll'.
Posteriormente, el nuevo script del cargador Python se activa para cargar 'executor.dll', un malware basado en Borland Delphi, también conocido como ExecutorLoader, en la memoria mediante PythonMemoryModule. La función principal de ExecutorLoader implica decodificar y ejecutar AllaSenha inyectándolo en un proceso mshta.exe legítimo.
La RAT AllaSenha recolecta las credenciales bancarias de las víctimas
Además de recopilar credenciales bancarias en línea almacenadas en navegadores web, AllaSenha posee la capacidad de presentar ventanas superpuestas, lo que permite la captura de códigos de autenticación de dos factores (2FA) e incluso obliga a las víctimas a escanear un código QR para autorizar una transacción fraudulenta iniciada por los atacantes. .
AllaSenha opera bajo el nombre de archivo original Access_PC_Client_dll.dll, una designación particularmente asociada con el proyecto KL Gorki. Este malware bancario parece fusionar elementos tanto de AllaKore como de una amenaza conocida como ServerSocket.
Un escrutinio más profundo del código fuente vinculado al archivo LNK inicial y AllaSenha sugiere la participación de un individuo de habla portuguesa llamado bert1m en el desarrollo del malware. Sin embargo, actualmente no hay evidencia que indique su funcionamiento directo de las herramientas.
Los investigadores destacan que los ciberdelincuentes que operan en América Latina demuestran una productividad notable al lanzar campañas de cibercrimen. Si bien su principal objetivo es atacar a individuos latinoamericanos para robar información bancaria, estos actores frecuentemente comprometen computadoras operadas por subsidiarias o empleados en todo el mundo, particularmente en Brasil.
