AllaSenha: o malware móvel que ameaça os bancos brasileiros
As instituições bancárias brasileiras tornaram-se alvos de uma sofisticada campanha de ataques cibernéticos envolvendo uma variante personalizada do trojan de acesso remoto (RAT) AllaKore baseado em Windows, agora conhecido como AllaSenha. Aqui, nos aprofundamos nas complexidades técnicas do AllaSenha, seu vetor de ataque e suas implicações para os bancos brasileiros e seus clientes.
Table of Contents
A Campanha AllaSenha
AllaSenha foi projetado especificamente para roubar credenciais necessárias para acessar contas bancárias brasileiras. Aproveitando os serviços de nuvem do Azure para sua infraestrutura de comando e controle (C2), o malware representa uma evolução significativa nas ameaças cibernéticas direcionadas às instituições financeiras.
Instituições financeiras direcionadas
A campanha tem como alvo os principais bancos brasileiros, como Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob e Sicredi. Embora o método preciso de infecção inicial permaneça incerto, acredita-se fortemente que as mensagens de phishing contendo links maliciosos sejam o principal vetor.
Iniciação de ataque e implantação de malware
O ataque normalmente começa com um arquivo malicioso de atalho do Windows (LNK) disfarçado de documento PDF, “NotaFiscal.pdf.lnk”, que está hospedado em um servidor WebDAV desde março de 2024. Uma vez iniciado, esse arquivo LNK executa um shell de comando do Windows . O shell abre um arquivo PDF falso para distrair o destinatário enquanto recupera simultaneamente uma carga útil de script em lote (BAT) chamada "c.cmd" do mesmo servidor WebDAV.
O iniciador BPyCode
Chamado de iniciador BPyCode, essa carga útil BAT aciona um comando do PowerShell codificado em Base64. O comando então baixa o binário Python do site oficial para executar um script Python chamado BPyCode. BPyCode é um downloader de uma biblioteca de vínculo dinâmico (DLL) chamada “executor.dll”, que é executada na memória. A DLL é obtida de nomes de domínio gerados por meio de um algoritmo de geração de domínio (DGA), frequentemente associado ao serviço Microsoft Azure Functions para implantação de infraestrutura dinâmica.
Entrega de carga útil em vários estágios
O script BPyCode recupera um arquivo pickle contendo três componentes: um segundo script de carregamento Python, um arquivo ZIP com o pacote PythonMemoryModule e outro arquivo ZIP contendo "executor.dll". O novo script de carregamento Python usa PythonMemoryModule para carregar “executor.dll”, um malware baseado em Borland Delphi chamado ExecutorLoader, diretamente na memória. A função principal do ExecutorLoader é decodificar e executar AllaSenha injetando-o em um processo mshta.exe legítimo.
Roubo de credenciais e desvio de autenticação de dois fatores
O objetivo principal do AllaSenha é roubar credenciais bancárias online de navegadores da web. Além disso, ele pode exibir janelas de sobreposição para capturar códigos de autenticação de dois fatores (2FA). Pode até enganar as vítimas, fazendo-as digitalizar um código QR para aprovar transações fraudulentas iniciadas pelos invasores. Este método sofisticado permite que o malware contorne as medidas de segurança padrão, representando um grave risco para a segurança bancária.
Links para o Projeto KL Gorki
Todas as amostras do AllaSenha usam o nome de arquivo "Access_PC_Client_dll.dll." Este nome de arquivo também está associado ao projeto KL Gorki, um malware bancário que combina componentes de AllaKore e ServerSocket. Além disso, um utilizador de língua portuguesa chamado bert1m foi identificado como um potencial desenvolvedor do malware, embora não haja provas concretas que o liguem ao seu funcionamento.
Implicações mais amplas e tendências regionais
A campanha AllaSenha destaca uma tendência mais ampla de crimes cibernéticos originados na América Latina. Os cibercriminosos nesta região parecem ser particularmente adeptos do lançamento de campanhas para roubar dados bancários. Embora seus principais alvos sejam indivíduos na América Latina, eles frequentemente comprometem sistemas operados por subsidiárias ou funcionários de empresas internacionais sediadas no Brasil, ampliando seu alcance global.
Outros Trojans Bancários na Região
O surgimento do AllaSenha faz parte de um padrão mais amplo de ataques de trojans bancários na América Latina. Por exemplo, a Forcepoint detalhou recentemente campanhas de malspam que distribuem outro trojan bancário, o Casbaneiro (também conhecido como Metamorfo e Ponteiro), com o objetivo de desviar informações financeiras das vítimas. Esse malware, distribuído por meio de anexos HTML em e-mails, induz os usuários a executar códigos maliciosos, comprometendo os dados.
Trojans bancários para Android: uma ameaça paralela
O Windows não é a única plataforma sob ataque. Há também uma campanha de malware bancário para Android envolvendo Anatsa (TeaBot e Toddler). Esses ataques utilizam aplicativos falsos carregados na Google Play Store disfarçados de ferramentas de produtividade legítimas. Uma vez instalados, esses aplicativos exfiltram credenciais bancárias confidenciais usando técnicas de sobreposição e acessibilidade.
A campanha AllaSenha sublinha a crescente sofisticação e o foco regional das ameaças cibernéticas que visam instituições financeiras. À medida que os cibercriminosos continuam a aperfeiçoar os seus métodos e a expandir o seu alcance, torna-se cada vez mais crítico que os bancos e os seus clientes adotem medidas de segurança robustas. A sensibilização e a vigilância continuam a ser defesas fundamentais contra estas ameaças em evolução.
