Bancos Brasileiros São Alvo de Nova Variante AllaKore RAT Chamada AllaSenha – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

As instituições bancárias brasileiras são alvo de uma nova campanha que distribui uma variante personalizada do trojan de acesso remoto baseado no Windows chamado AllaKore, chamado AllaSenha.

O malware é “especificamente direcionado para roubar credenciais necessárias para acessar contas bancárias brasileiras, [e] utiliza a nuvem Azure como infraestrutura de comando e controle (C2)”, disse a empresa francesa de cibersegurança HarfangLab em uma análise técnica.

Os alvos da campanha incluem bancos como Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob e Sicredi. O vetor de acesso inicial, embora não confirmado definitivamente, aponta para o uso de links maliciosos em mensagens de phishing.

O ponto de partida do ataque é um arquivo de atalho malicioso do Windows (LNK) que se disfarça como um documento PDF (“NotaFiscal.pdf.lnk”) hospedado em um servidor WebDAV desde pelo menos março de 2024. Há também evidências que sugerem que os atores da ameaça por trás da atividade anteriormente abusaram de serviços legítimos como Autodesk A360 Drive e GitHub para hospedar as cargas úteis.

O arquivo LNK, quando executado, abre um shell de comando do Windows que é projetado para abrir um arquivo PDF de engodo para o destinatário, ao mesmo tempo em que recupera uma carga BAT chamada “c.cmd” do mesmo local do servidor WebDAV.

Denominado lançador BPyCode, o arquivo lança um comando PowerShell codificado em Base64, que subsequentemente baixa o binário Python do site oficial www.python[.]org para executar um script Python chamado BPyCode.

BPyCode, por sua vez, funciona como um downloader para uma biblioteca de link dinâmico (“executor.dll”) e a executa na memória. A DLL é buscada em um dos nomes de domínio gerados por meio de um algoritmo de geração de domínio (DGA).

“Os hostnames gerados parecem corresponder aos associados ao serviço Microsoft Azure Functions, uma infraestrutura sem servidor que, neste caso, permitiria aos operadores implantar e girar facilmente sua infraestrutura de encenação”, disse a empresa.

Especificamente, BPyCode recupera um arquivo pickle que inclui três arquivos: um segundo script carregador Python, um arquivo ZIP contendo o pacote PythonMemoryModule e outro arquivo ZIP contendo “executor.dll”.

O novo script carregador Python é então lançado para carregar executor.dll, um malware baseado em Borland Delphi chamado ExecutorLoader, na memória usando PythonMemoryModule. O ExecutorLoader é principalmente encarregado de decodificar e executar o AllaSenha injetando-o em um processo legítimo de mshta.exe.

Além de roubar credenciais de contas de banco online de navegadores da web, o AllaSenha vem com a capacidade de exibir janelas de sobreposição para capturar códigos de autenticação de dois fatores (2FA) e até enganar a vítima para escanear um código QR para aprovar uma transação fraudulenta iniciada pelos atacantes.

“Todos os exemplos de AllaSenha usam Access_PC_Client_dll.dll como nome de arquivo original”, observou HarfangLab. “Este nome pode ser encontrado no projeto KL Gorki, um malware bancário que aparentemente combina componentes tanto do AllaKore quanto do ServerSocket.”

Uma análise mais aprofundada do código fonte associado ao arquivo LNK inicial e aos exemplos do AllaSenha revelou que um usuário de língua portuguesa chamado bert1m está provavelmente ligado ao desenvolvimento do malware, embora não haja evidências neste estágio de que estejam operando as ferramentas também.

“Os atores de ameaças que operam na América Latina parecem ser uma fonte particularmente produtiva de campanhas de cibercrime”, disse HarfangLab.

“Embora destinem-se quase exclusivamente a indivíduos da América Latina para roubar detalhes bancários, esses atores frequentemente acabam comprometendo computadores que são operados por subsidiárias ou funcionários no Brasil, mas que pertencem a empresas de todo o mundo.”

Essa situação surge no momento em que a Forcepoint detalha campanhas de malspam distribuindo outro trojan bancário focado na América Latina chamado Casbaneiro (também conhecido como Metamorfo e Ponteiro) via anexos em HTML com o objetivo de subtrair informações financeiras das vítimas.

“O malware distribuído por e-mail instiga o usuário a clicar no anexo”, disse o pesquisador de segurança Prashant Kumar. “O anexo contém código malicioso que faz uma série de atividades e leva à comprometimento de dados.”

A Cisco Talos, em um artigo técnico publicado em 31 de maio de 2024, atribuiu o trojan bancário AllaSenha a atores brasileiros, que disse poderem ser “identificados por causa de alguns erros operacionais feitos durante o processo de registro de domínio de seus sites de hospedagem de carga útil”.

Especificamente, encontrou que as informações do WHOIS para os domínios “nfe-visualizer.app[.]br” e “visualizer-nf.com[.]br” usados para distribuir o malware expuseram os nomes completos e os endereços de e-mail de duas pessoas que os registraram, usando os quais foi capaz de descobrir outras empresas de propriedade de um deles. O segundo ator teve seus antecedentes criminais revelados.

A empresa de cibersegurança está rastreando o trojan bancário sob o nome CarnavalHeist, observando o uso de várias táticas comuns entre outras famílias de malware semelhantes vindas do Brasil.

“Único para CarnavalHeist, no entanto, é o uso dinâmico de um carregador baseado em Python como parte do processo de injeção de DLL e o direcionamento específico de aplicações bancárias desktop para permitir o rastreamento de outras instituições financeiras brasileiras,” disse.

Não é apenas o Windows que tem sido alvo de ataques de trojans bancários, pois a Zscaler ThreatLabz divulgou detalhes de uma campanha de malware bancário Android que fez uso de aplicativos de fachada enviados para a loja do Google Play para instalar o Anatsa (também conhecido como TeaBot e Toddler).

Esses aplicativos de instalação limpa se passam como aplicativos aparentemente inofensivos de produtividade e utilidade, como leitores de PDF, leitores de código QR e tradutores, e empregam uma cadeia de infecção idêntica revelada pela ThreatFabric no início de fevereiro para recuperar e implantar o malware de um servidor remoto sob o disfarce de uma atualização de aplicativo para evitar a detecção.

Os aplicativos, que desde então foram removidos pela Google, são listados abaixo –

– com.appandutilitytools.fileqrutility (Leitor de QR e Gerenciador de Arquivos)
– com.ultimatefilesviewer.filemanagerwithpdfsupport (Leitor de PDF e Gerenciador de Arquivos)

De acordo com estatísticas disponíveis na Sensor Tower, o Leitor de PDF e Gerenciador de Arquivos foi instalado em qualquer lugar entre 500 e 1.000 vezes, enquanto o aplicativo leitor de código QR teve instalações na faixa de 50.000 a 100.000.

“Uma vez instalado, o Anatsa exfiltra credenciais bancárias confidenciais e informações financeiras de aplicativos financeiros globais,” disseram os pesquisadores. “Ele alcança isso por meio de técnicas de sobreposição e acessibilidade, permitindo que ele intercepte e colete dados discretamente.”

A Zscaler identificou mais de 90 aplicativos maliciosos na Play Store nos últimos meses que tiveram coletivamente mais de 5,5 milhões de instalações e foram usados para propagar várias famílias de malware como Joker, Facestealer, Anatsa, Coper e outros adware.

(A história foi atualizada após a publicação em 31 de maio de 2024, com mais informações sobre AllaSenha da Cisco Talos.)

Você também pode gostar

Latrodectus Malware Loader Surge Como Sucessor de IcedID em Campanhas de Phishing

O Spyware É Capaz De Capturar Capturas de Tela de Um Dispositivo de Usuário a cada Poucos Segundos em Qualquer Local do Mundo

Signal finalmente lança usernames para manter seu número de telefone privado