AllaSenha: El malware móvil que amenaza a los bancos brasileños
Las instituciones bancarias brasileñas se han convertido en blanco de una sofisticada campaña de ciberataque que involucra una variante personalizada del troyano de acceso remoto (RAT) AllaKore basado en Windows, ahora conocido como AllaSenha. Aquí profundizamos en las complejidades técnicas de AllaSenha, su vector de ataque y sus implicaciones para los bancos brasileños y sus clientes.
Table of Contents
La campaña Alla Senha
AllaSenha está diseñado específicamente para robar las credenciales necesarias para acceder a cuentas bancarias brasileñas. Al aprovechar los servicios en la nube de Azure para su infraestructura de comando y control (C2), el malware representa una evolución significativa en las amenazas cibernéticas dirigidas a instituciones financieras.
Instituciones financieras objetivo
La campaña está dirigida a los principales bancos brasileños, como Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob y Sicredi. Aunque el método preciso de infección inicial sigue siendo incierto, se cree firmemente que los mensajes de phishing que contienen enlaces maliciosos son el vector principal.
Inicio de ataques e implementación de malware
El ataque generalmente comienza con un archivo malicioso de acceso directo de Windows (LNK) disfrazado de documento PDF, "NotaFiscal.pdf.lnk", que ha estado alojado en un servidor WebDAV desde marzo de 2024. Una vez iniciado, este archivo LNK ejecuta un shell de comandos de Windows. . El shell abre un archivo PDF señuelo para distraer al destinatario y al mismo tiempo recupera una carga útil de script por lotes (BAT) denominada "c.cmd" del mismo servidor WebDAV.
El lanzador BPyCode
Apodado el lanzador BPyCode, esta carga útil BAT activa un comando PowerShell codificado en Base64. Luego, el comando descarga el binario de Python del sitio web oficial para ejecutar un script de Python llamado BPyCode. BPyCode es un descargador de una biblioteca de vínculos dinámicos (DLL) llamada "executor.dll", que se ejecuta en la memoria. La DLL se obtiene de los nombres de dominio generados mediante un algoritmo de generación de dominio (DGA), a menudo asociado con el servicio Microsoft Azure Functions para la implementación de infraestructura dinámica.
Entrega de carga útil en varias etapas
El script BPyCode recupera un archivo pickle que contiene tres componentes: un segundo script del cargador Python, un archivo ZIP con el paquete PythonMemoryModule y otro archivo ZIP que contiene "executor.dll". El nuevo script del cargador Python utiliza PythonMemoryModule para cargar "executor.dll", un malware basado en Borland Delphi llamado ExecutorLoader, directamente en la memoria. La función principal de ExecutorLoader es decodificar y ejecutar AllaSenha inyectándolo en un proceso mshta.exe legítimo.
Robo de credenciales y omisión de autenticación de dos factores
El objetivo principal de AllaSenha es robar credenciales bancarias en línea de los navegadores web. Además, puede mostrar ventanas superpuestas para capturar códigos de autenticación de dos factores (2FA). Incluso puede engañar a las víctimas para que escaneen un código QR para aprobar transacciones fraudulentas iniciadas por los atacantes. Este sofisticado método permite que el malware eluda las medidas de seguridad estándar, lo que representa un grave riesgo para la seguridad bancaria.
Enlaces al Proyecto KL Gorki
Todos los ejemplos de AllaSenha utilizan el nombre de archivo "Access_PC_Client_dll.dll". Este nombre de archivo también está asociado con el proyecto KL Gorki, un malware bancario que combina componentes de AllaKore y ServerSocket. Además, un usuario de habla portuguesa llamado bert1m ha sido identificado como un potencial desarrollador del malware, aunque no hay pruebas concretas que lo vinculen con su funcionamiento.
Implicaciones más amplias y tendencias regionales
La campaña de AllaSenha destaca una tendencia más amplia de delitos cibernéticos que se origina en América Latina. Los ciberdelincuentes de esta región parecen ser especialmente hábiles a la hora de lanzar campañas para robar datos bancarios. Si bien sus objetivos principales son individuos en América Latina, a menudo comprometen sistemas operados por subsidiarias o empleados de empresas internacionales con sede en Brasil, ampliando su alcance global.
Otros troyanos bancarios en la región
El surgimiento de AllaSenha es parte de un patrón más amplio de ataques de troyanos bancarios en América Latina. Por ejemplo, Forcepoint detalló recientemente campañas de malspam que distribuyen otro troyano bancario, Casbaneiro (también conocido como Metamorfo y Ponteiro), con el objetivo de desviar la información financiera de las víctimas. Este malware, distribuido a través de archivos adjuntos HTML en correos electrónicos, incita a los usuarios a ejecutar código malicioso, lo que compromete los datos.
Troyanos bancarios para Android: una amenaza paralela
Windows no es la única plataforma atacada. También hay una campaña de malware bancario para Android que involucra a Anatsa (TeaBot y Toddler). Estos ataques utilizan aplicaciones señuelo cargadas en Google Play Store disfrazadas de herramientas de productividad legítimas. Una vez instaladas, estas aplicaciones filtran credenciales bancarias confidenciales mediante técnicas de superposición y accesibilidad.
La campaña de AllaSenha subraya la creciente sofisticación y el enfoque regional de las amenazas cibernéticas dirigidas a las instituciones financieras. A medida que los ciberdelincuentes continúan perfeccionando sus métodos y ampliando su alcance, se vuelve cada vez más crítico que los bancos y sus clientes adopten medidas de seguridad sólidas. La conciencia y la vigilancia siguen siendo defensas clave contra estas amenazas en evolución.
