As instituições bancárias brasileiras são alvo de uma nova campanha que distribui uma variante customizada do trojan de acesso remoto (RAT) AllaKore baseado em Home windows, chamada AllaSenha.
O malware visa “especificamente roubar credenciais necessárias para acessar contas bancárias brasileiras e (e) aproveitar a nuvem Azure como infraestrutura de comando e controle (C2)”, disse a empresa francesa de segurança cibernética HarfangLab em uma análise técnica.
Os alvos da campanha são bancos como Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob e Sicredi. O vetor de acesso inicial, embora não confirmado definitivamente, aponta para o uso de hyperlinks maliciosos em mensagens de phishing.
O ponto de partida do ataque é um arquivo malicioso de atalho do Home windows (LNK) que se disfarça como um documento PDF (“NotaFiscal.pdf.lnk”) hospedado em um servidor WebDAV desde pelo menos março de 2024. Há também evidências que sugerem que a ameaça os atores por trás da atividade abusaram anteriormente de serviços legítimos como Autodesk A360 Drive e GitHub para hospedar as cargas.
O arquivo LNK, quando iniciado, executa um shell de comando do Home windows projetado para abrir um arquivo PDF isca para o destinatário, enquanto recupera simultaneamente uma carga BAT chamada “c.cmd” do mesmo native do servidor WebDAV.
Apelidado de iniciador BPyCode, o arquivo inicia um comando PowerShell codificado em Base64, que posteriormente baixa o binário Python do website oficial www.python(.)org para executar um script Python de codinome BPyCode.
O BPyCode, por sua vez, funciona como um downloader de uma biblioteca de vínculo dinâmico (“executor.dll”) e a executa na memória. A DLL é obtida de um dos nomes de domínio gerados por meio de um algoritmo de geração de domínio (DGA).
“Os nomes de host gerados parecem corresponder àqueles associados ao serviço Microsoft Azure Capabilities, uma infraestrutura sem servidor que, neste caso, permitiria às operadoras implantar e alternar facilmente sua infraestrutura de teste”, disse a empresa.
Especificamente, BPyCode recupera um arquivo pickle que inclui três arquivos: um segundo script de carregamento Python, um arquivo ZIP contendo o pacote PythonMemoryModule e outro arquivo ZIP contendo “executor.dll”.
O novo script de carregamento Python é então iniciado para carregar executor.dll, um malware baseado em Borland Delphi também chamado ExecutorLoader, na memória usando PythonMemoryModule. O ExecutorLoader tem a tarefa principal de decodificar e executar AllaSenha, injetando-o em um processo mshta.exe legítimo.
Além de roubar credenciais de contas bancárias on-line de navegadores da net, o AllaSenha vem com a capacidade de exibir janelas sobrepostas para capturar códigos de autenticação de dois fatores (2FA) e até mesmo enganar a vítima para que escaneie um código QR para aprovar uma transação fraudulenta iniciada por os atacantes.
“Todas as amostras do AllaSenha (…) usam Access_PC_Client_dll.dll como nome de arquivo authentic”, observou HarfangLab. “Este nome pode ser encontrado principalmente no projeto KL Gorki, um malware bancário que parece combinar componentes do AllaKore e do ServerSocket.”
Uma análise mais aprofundada do código-fonte associado ao arquivo LNK inicial e às amostras do AllaSenha revelou que um usuário de língua portuguesa chamado bert1m está provavelmente ligado ao desenvolvimento do malware, embora não haja nenhuma evidência neste estágio que sugira que eles estejam operando o ferramentas também.
“Os agentes de ameaças que operam na América Latina parecem ser uma fonte particularmente produtiva de campanhas de crimes cibernéticos”, disse HarfangLab.
“Embora visem quase exclusivamente indivíduos latino-americanos para roubar dados bancários, esses atores muitas vezes acabam comprometendo computadores que são de fato operados por subsidiárias ou funcionários no Brasil, mas que pertencem a empresas em todo o mundo”.
O desenvolvimento ocorre no momento em que a Forcepoint detalha campanhas de malspam que distribuem outro trojan bancário focado na América Latina, chamado Casbaneiro (também conhecido como Metamorfo e Ponteiro), por meio de anexos HTML, com o objetivo de desviar informações financeiras das vítimas.
“O malware distribuído por e-mail incentiva o usuário a clicar no anexo”, disse o pesquisador de segurança Prashant Kumar. “O anexo contém código malicioso que realiza uma série de atividades e leva ao comprometimento dos dados.”
Anatsa Android Banking Trojan entra furtivamente na Google Play Retailer
Não é apenas o Home windows que tem sido alvo de ataques de trojans bancários, pois o Zscaler ThreatLabz divulgou detalhes de uma campanha de malware bancário para Android que fez uso de aplicativos chamariz carregados na loja Google Play para entregar Anatsa (também conhecido como TeaBot e Toddler).
Esses aplicativos conta-gotas limpos se passam por aplicativos utilitários e de produtividade aparentemente inofensivos, como leitores de PDF, leitores de código QR e tradutores, e empregam uma cadeia de infecção idêntica revelada pelo ThreatFabric no início de fevereiro para recuperar e implantar o malware de um servidor remoto sob o disfarce de uma atualização de aplicativo para evitar a detecção.
Os aplicativos, que já foram removidos pelo Google, estão listados abaixo:
- com.appandutilitytools.fileqrutility (leitor QR e gerenciador de arquivos)
- com.ultimatefilesviewer.filemanagerwithpdfsupport (leitor de PDF e gerenciador de arquivos)
De acordo com estatísticas disponíveis na Sensor Tower, o PDF Reader & File Supervisor foi instalado entre 500 e 1.000 vezes, enquanto o aplicativo leitor de código QR teve instalações na faixa de 50.000 a 100.000.
“Uma vez instalado, o Anatsa exfiltra credenciais bancárias confidenciais e informações financeiras de aplicações financeiras globais”, disseram os pesquisadores Himanshu Sharma e Gajanan Khond. “Ele consegue isso através do uso de técnicas de sobreposição e acessibilidade, permitindo interceptar e coletar dados de forma discreta.”
Zscaler disse que identificou mais de 90 aplicativos maliciosos na Play Retailer nos últimos meses que, coletivamente, tiveram mais de 5,5 milhões de instalações e foram usados para propagar várias famílias de malware como Joker, Facestealer, Anatsa, Coper e outros adwares.
