Instituições bancárias brasileiras são o alvo de uma nova campanha que distribui uma variante personalizada do trojan de acesso remoto baseado no Windows chamado AllaKore, denominado AllaSenha. O malware visa roubar credenciais necessárias para acessar contas bancárias brasileiras e utiliza a nuvem Azure como infraestrutura de comando e controle (C2), conforme análise técnica realizada pela empresa francesa de cibersegurança HarfangLab. Os alvos da campanha incluem bancos como Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob e Sicredi. O vetor de acesso inicial, embora não confirmado definitivamente, aponta para o uso de links maliciosos em mensagens de phishing. O ponto de partida do ataque é um arquivo de atalho malicioso do Windows (LNK) disfarçado como um documento em PDF (“NotaFiscal.pdf.lnk”) hospedado em um servidor WebDAV desde pelo menos março de 2024. Há evidências que sugerem que os atores por trás da atividade anteriormente abusaram de serviços legítimos como Autodesk A360 Drive e GitHub para hospedar os payloads. O arquivo LNK, quando lançado, executa um shell de comando do Windows que é projetado para abrir um arquivo PDF falso ao destinatário, enquanto recupera simultaneamente um payload BAT chamado “c.cmd” da mesma localização do servidor WebDAV. Intitulado BPyCode launcher, o arquivo lança um comando PowerShell codificado em Base64, que posteriormente faz o download do binário Python do site oficial www.python[.]org para executar um script Python chamado BPyCode. BPyCode, por sua vez, funciona como um downloader para uma biblioteca de vínculo dinâmico (“executor.dll”) e a executa na memória. A DLL é buscada em um dos nomes de domínio gerados via algoritmo de geração de domínio (DGA). Os nomes de host gerados parecem corresponder aos associados ao serviço Microsoft Azure Functions, uma infraestrutura serverless que permitiria aos operadores implantar e girar facilmente sua infraestrutura de palco. Especificamente, o BPyCode recupera um arquivo pickle que inclui três arquivos: um segundo script de carregamento Python, um arquivo ZIP contendo o pacote PythonMemoryModule e outro arquivo ZIP contendo “executor.dll”. O novo script de carregamento Python é então lançado para carregar executor.dll, um malware baseado em Borland Delphi também chamado ExecutorLoader, na memória usando PythonMemoryModule. ExecutorLoader tem como principal tarefa decodificar e executar o AllaSenha injetando-o em um processo legítimo de mshta.exe. Além de roubar credenciais de contas bancárias online de navegadores da web, AllaSenha possui a capacidade de exibir janelas de sobreposição para capturar códigos de autenticação de dois fatores (2FA) e até enganar a vítima para escanear um código QR para aprovar uma transação fraudulenta iniciada pelos atacantes. Todas as amostras de AllaSenha usam Access_PC_Client_dll.dll como nome original do arquivo. Esse nome pode ser encontrado no projeto KL Gorki, um malware bancário que parece combinar componentes do AllaKore e ServerSocket. Uma análise mais aprofundada do código-fonte associado ao arquivo LNK inicial e às amostras de AllaSenha revelou que um usuário de língua portuguesa chamado bert1m provavelmente está ligado ao desenvolvimento do malware, embora não haja evidências neste momento que sugiram que ele esteja operando as ferramentas também. A desenvolvimento ocorre enquanto a Forcepoint detalhou campanhas de malspam distribuindo outro trojan bancário focado na América Latina chamado Casbaneiro (também conhecido como Metamorfo e Ponteiro) por meio de anexos HTML com o objetivo de drenar as informações financeiras das vítimas. As ações operacionais existem desde pelo menos março de 2024. Em adição a roubar credenciais de login para serviços financeiros online, o Anatsa possui a capacidade de sobrepor suas janelas nas interfaces gráficas dos aplicativos financeiros alvos para coletar informações sensíveis sobre transações e dados financeiros. As atividades – Uma campanha de malware bancário chamada CarnavalHeist atribuída a atores de ameaças brasileiros foi rastreada por pesquisadores da Cisco Talos, que afirmam que é possível “identificá-los por causa de alguns erros operacionais cometidos durante o processo de registro de domínio de seus sites de hospedagem de cargas úteis”. Especificamente, descobriu-se que as informações do WHOIS para os domínios “nfe-visualizer.app[.]br” e “visualizer-nf.com[.]br” usados para distribuir o malware expuseram os nomes completos e endereços de e-mail de duas pessoas que os registraram, sendo possível descobrir outras empresas pertencentes a elas. O segundo ator teve seu histórico criminal exposto em seu nome. A empresa de cibersegurança está rastreando o trojan bancário sob o nome CarnavalHeist, observando o uso de várias táticas comuns entre outras famílias de malwares semelhantes originárias do Brasil. O uso típico do CarnavalHeist, no entanto, é a utilização dinâmica de um carregador baseado em Python como parte do processo de injeção DLL e o direcionamento específico de aplicativos bancários desktop para permitir o rastreamento de outras instituições financeiras brasileiras. O Android Banking Trojan – Zscaler ThreatLabz divulgou detalhes de uma campanha de malware bancário Android que utilizou aplicativos-fachada enviados ao Google Play Store para distribuir Anatsa (também conhecido como TeaBot e Toddler). Esses aplicativos de instalação limpa se passam por aplicativos aparentemente inofensivos de produtividade e utilidade, como leitores de PDF, leitores de código QR e tradutores, e usam uma cadeia de infecção idêntica revelada pela ThreatFabric no início de fevereiro para recuperar e implantar o malware de um servidor remoto sob o disfarce de uma atualização de aplicativo para escapar da detecção. Os aplicativos, que desde então foram removidos pelo Google, estão listados abaixo: com.appandutilitytools.fileqrutility (Leitor de QR & Gerenciador de Arquivos) e com.ultimatefilesviewer.filemanagerwithpdfsupport (Leitor de PDF & Gerenciador de Arquivos). · Uma vez instalado, o Anatsa exfiltra credenciais de login bancárias e informações financeiras de aplicativos financeiros globais. Essas atividades acontecem por meio de sobreposições e técnicas de acessibilidade, permitindo interceptar e coletar dados discretamente. A Zscaler identificou mais de 90 aplicativos maliciosos na Play Store nos últimos meses que, juntos, tiveram mais de 5,5 milhões de instalações e foram usados para propagar várias famílias de malwares como Joker, Facestealer, Anatsa, Coper e outros adwares.