Caos en los bancos de Brasil: AllaSenha convierte tu computadora en una herramienta para robar dinero

Las instituciones bancarias brasileñas se han convertido en el objetivo de una nueva campaña de distribución de una variante específica del troyano de acceso remoto AllaKore para Windows, llamado AllaSenha. El troyano RAT está dirigido a robar credenciales necesarias para acceder a cuentas bancarias y utiliza la plataforma en la nube Azure como infraestructura de comando y control (C2).

La empresa de seguridad HarfangLab detalló la campaña en su análisis técnico. El ataque abarca bancos como Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob y Sicredi. Se supone que los atacantes utilizan mensajes de phishing con enlaces maliciosos para el acceso inicial.

En términos generales, la cadena de infección es la siguiente:

El ataque comienza con la ejecución de un acceso directo LNK de Windows, disfrazado como un documento PDF, alojado en un servidor WebDAV; El acceso directo abre el shell de comandos de Windows, muestra un documento PDF falso y descarga un archivo BAT "c.cmd"; El archivo BAT ejecuta un comando de PowerShell que descarga un archivo binario de Python del sitio oficial (python.org) y ejecuta el script BPyCode; El script BPyCode carga y ejecuta una biblioteca dinámica (executor.dll); La biblioteca se ejecuta en la memoria e inyecta el troyano AllaSenha en el proceso legítimo "mshta.exe". Cabe señalar que la biblioteca DLL se extrae de uno de los nombres de dominio creados mediante un algoritmo de generación de dominios (DGA). Los nombres de host generados corresponden a aquellos asociados con el servicio Microsoft Azure Functions, una infraestructura sin servidor que, en este caso, permite a los operadores desplegar y gestionar fácilmente la infraestructura intermedia.

Cadena de infección de AllaSenha

Además de robar credenciales para la banca en línea desde navegadores web, AllaSenha puede mostrar ventanas superpuestas para capturar códigos de autenticación de dos factores (2FA) e incluso engañar a la víctima para que escanee un código QR y apruebe una transacción fraudulenta iniciada por los atacantes.

HarfangLab también informó que todas las muestras de AllaSenha utilizan Access_PC_Client_dll.dll como nombre de archivo original. Este nombre se puede encontrar en el proyecto KL Gorki, un malware bancario que aparentemente combina componentes de AllaKore y ServerSocket.

Un análisis adicional del código fuente relacionado con el archivo LNK inicial y las muestras de AllaSenha mostró que un usuario de habla portuguesa con el apodo bert1m podría estar involucrado en el desarrollo del malware. Sin embargo, aún no hay pruebas de que él sea quien maneja las herramientas.

Los ciberdelincuentes que operan en América Latina a menudo resultan ser especialmente productivos en la creación de estas amenazas. Aunque sus objetivos son principalmente residentes de América Latina, no es raro que los atacantes comprometan computadoras pertenecientes a empresas de todo el mundo, pero gestionadas por empleados o subsidiarias en Brasil.