Instituições bancárias brasileiras são o alvo de uma nova campanha que distribui uma variante personalizada do Remote Access Trojan (RAT) para Windows chamado AllaKore, conhecida como AllaSenha.
O malware é "especificamente direcionado para o roubo de credenciais necessárias para acessar contas bancárias brasileiras e aproveita a infraestrutura da nuvem Azure como comando e controle (C2)", disse a empresa francesa de cibersegurança HarfangLab em uma análise técnica.
Os alvos da campanha incluem bancos como Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob e Sicredi.
A via de acesso inicial, embora não confirmada definitivamente, aponta para o uso de links maliciosos em mensagens de phishing.
O ponto de partida do ataque é um arquivo malicioso do Windows (LNK) que se disfarça como um documento PDF ("NotaFiscal.pdf.lnk") hospedado em um servidor WebDAV desde pelo menos março de 2024.
Há também evidências que sugerem que os atores da ameaça por trás da atividade previamente abusaram de serviços legítimos como Autodesk A360 Drive e GitHub para hospedar os payloads.
O arquivo LNK, quando executado, dispara um shell de comando do Windows desenhado para abrir um arquivo PDF de distração para o destinatário, enquanto simultaneamente recupera um payload BAT chamado "c.cmd" do mesmo local do servidor WebDAV.
Apelidado de lançador BPyCode, o arquivo inicia um comando PowerShell codificado em Base64, que subsequentemente baixa o binário do Python do site oficial www.python[.]org para executar um script Python codenomeado BPyCode.
BPyCode, por sua parte, funciona como um downloader para uma dynamic-link library ("executor.dll") e a executa na memória.
A DLL é obtida a partir de um dos nomes de domínio gerados via um algoritmo de geração de domínio (DGA).
"Os hostnames gerados parecem corresponder aos associados ao serviço Microsoft Azure Functions, uma infraestrutura sem servidor que, neste caso, permitiria aos operadores implementar e rotacionar sua infraestrutura de staging facilmente", disse a empresa.
Especificamente, BPyCode recupera um arquivo pickle que inclui três arquivos: Um segundo script de carregamento Python, um arquivo ZIP contendo o pacote PythonMemoryModule, e outro arquivo ZIP contendo "executor.dll".
O novo script de carregamento Python é então lançado para carregar executor.dll, um malware baseado em Borland Delphi também chamado ExecutorLoader, na memória usando PythonMemoryModule.
ExecutorLoader é primeiramente incumbido de decodificar e executar AllaSenha, injetando-o em um processo legítimo mshta.exe.
Além de roubar credenciais de contas bancárias online de navegadores web, AllaSenha vem com a capacidade de exibir janelas de sobreposição para capturar códigos de autenticação de dois fatores (2FA) e até enganar a vítima para escanear um código QR para aprovar uma transação fraudulenta iniciada pelos atacantes.
"Todas as amostras de AllaSenha [...] usam Access_PC_Client_dll.dll como seu nome de arquivo original", observou HarfangLab.
Este nome pode ser notavelmente encontrado no projeto KL Gorki, um malware bancário que parece combinar componentes de AllaKore e ServerSocket.
Análises adicionais do código fonte associado ao arquivo LNK inicial e amostras de AllaSenha revelaram que um usuário de língua portuguesa chamado bert1m provavelmente está ligado ao desenvolvimento do malware, embora não haja evidências neste estágio que sugiram que eles estão operando as ferramentas também.
"Os atores de ameaças que operam na América Latina parecem ser uma fonte particularmente produtiva de campanhas de cibercrime", disse HarfangLab.
Enquanto visam quase exclusivamente indivíduos latino-americanos para roubar detalhes bancários, esses atores frequentemente acabam comprometendo computadores que são de fato operados por subsidiárias ou funcionários no Brasil, mas que pertencem a empresas ao redor do mundo.
O desenvolvimento surge enquanto a Forcepoint detalhou campanhas de malspam distribuindo outro trojan bancário focado na América Latina chamado Casbaneiro (também conhecido como Metamorfo e Ponteiro) via anexos HTML com o objetivo de sifonar informações financeiras das vítimas.
"O malware distribuído via e-mail insta o usuário a clicar no anexo", disse o pesquisador de segurança Prashant Kumar.
O anexo contém código malicioso que realiza uma série de atividades e leva ao comprometimento de dados.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...