Ciberseguridad 360 | Nueva variante del malware AllaKore RAT ataca bancos brasileños

Las instituciones bancarias brasile�as son el objetivo de una nueva campa�a que distribuye una variante personalizada del troyano de acceso remoto (RAT) AllaKore, basado en Windows y denominado AllaSenha.

El malware est� "espec�ficamente dirigido a robar credenciales que se requieren para acceder a cuentas bancarias brasile�as, y aprovecha la nube Azure como infraestructura de comando y control (C2)", dijo la compa��a francesa de ciberseguridad HarfangLab en un an�lisis t�cnico.

Entre los objetivos de la campa�a figuran bancos como Banco do Brasil, Bradesco, Banco Safra, Caixa Econ�mica Federal, Ita� Unibanco, Sicoob y Sicredi. El vector de acceso inicial, aunque no est� definitivamente confirmado, apunta al uso de enlaces maliciosos en mensajes de phishing.

El punto de partida del ataque es un archivo malicioso de acceso directo de Windows (LNK) que se hace pasar por un documento PDF ("NotaFiscal.pdf.lnk") alojado en un servidor WebDAV desde al menos marzo de 2024. Tambi�n hay indicios que sugieren que los autores de la amenaza abusaron anteriormente de servicios leg�timos como Autodesk A360 Drive y GitHub para alojar las cargas �tiles.

Cuando se ejecuta el archivo LNK, se ejecuta un int�rprete de comandos de Windows dise�ado para abrir un archivo PDF se�uelo para el destinatario, al tiempo que se recupera una carga �til BAT denominada "c.cmd" de la misma ubicaci�n del servidor WebDAV.

Denominado BPyCode launcher, el archivo lanza un comando PowerShell codificado en Base64, que posteriormente descarga el binario Python desde el sitio web oficial www.python.org para ejecutar un script Python con el nombre en clave BPyCode.

BPyCode, por su parte, funciona como descargador de una biblioteca de v�nculos din�micos ("executor.dll") y la ejecuta en memoria. La DLL se obtiene de uno de los nombres de dominio generados mediante un algoritmo de generaci�n de dominios (DGA).

"Los nombres de dominio generados parecen coincidir con los que est�n asociados con el servicio Microsoft Azure Functions, una infraestructura sin servidor que en este caso permitir�a a los operadores desplegar y rotar f�cilmente su infraestructura de puesta en escena", dijo la compa��a.

En concreto, BPyCode recupera un archivo pickle que incluye tres archivos: Un segundo script cargador de Python, un archivo ZIP que contiene el paquete PythonMemoryModule y otro archivo ZIP que contiene "executor.dll".

El nuevo script Python loader se lanza entonces para cargar executor.dll, un malware basado en Borland Delphi tambi�n llamado ExecutorLoader, en memoria utilizando PythonMemoryModule. ExecutorLoader se encarga principalmente de descodificar y ejecutar AllaSenha inyect�ndolo en un proceso leg�timo mshta.exe.

Adem�s de robar credenciales de cuentas bancarias en l�nea de los navegadores web, AllaSenha tiene la capacidad de mostrar ventanas superpuestas para capturar c�digos de autenticaci�n de dos factores (2FA) e incluso enga�ar a una v�ctima para que escanee un c�digo QR para aprobar una transacci�n fraudulenta iniciada por los atacantes.

"Todas las muestras de AllaSenha [...] utilizan Access_PC_Client_dll.dll como nombre de archivo original", se�al� HarfangLab. "Este nombre puede encontrarse notablemente en el proyecto KL Gorki, un malware bancario que parece combinar componentes tanto de AllaKore como de ServerSocket".

Un an�lisis m�s detallado del c�digo fuente asociado al archivo LNK inicial y a las muestras de AllaSenha ha revelado que un usuario de habla portuguesa llamado bert1m est� probablemente vinculado al desarrollo del malware, aunque por el momento no hay pruebas que sugieran que tambi�n est� operando las herramientas.

"Los actores de amenazas que operan en Am�rica Latina parecen ser una fuente particularmente productiva de campa�as de ciberdelincuencia", dijo HarfangLab.

"Si bien se dirigen casi exclusivamente a individuos latinoamericanos para robar datos bancarios, estos actores a menudo terminan comprometiendo computadoras que efectivamente son operadas por filiales o empleados en Brasil, pero que pertenecen a empresas de todo el mundo."

El desarrollo se produce mientras Forcepoint detalla campa�as de malspam que distribuyen otro troyano bancario centrado en Am�rica Latina llamado Casbaneiro (tambi�n conocido como Metamorfo y Ponteiro) a trav�s de archivos adjuntos HTML con el objetivo de desviar la informaci�n financiera de las v�ctimas.

"El malware distribuido por correo electr�nico insta al usuario a hacer clic en el archivo adjunto", explica el investigador de seguridad Prashant Kumar. "El archivo adjunto contiene c�digo malicioso que realiza una serie de actividades y lleva a comprometer los datos".

El troyano bancario para Android Anatsa se cuela en Google Play Store

Zscaler ThreatLabz ha revelado detalles de una campa�a de malware bancario para Android que utilizaba aplicaciones se�uelo subidas a la tienda Google Play para distribuir Anatsa (tambi�n conocido como TeaBot y Toddler).

Estas aplicaciones se hacen pasar por aplicaciones de productividad y utilidades aparentemente inofensivas, como lectores de PDF, lectores de c�digos QR y traductores, reflejando una cadena de infecci�n id�ntica revelada por ThreatFabric a principios de febrero para recuperar y desplegar el malware desde un servidor remoto bajo la apariencia de una actualizaci�n de la aplicaci�n para evadir la detecci�n.

Las aplicaciones, que ya han sido retiradas por Google, se enumeran a continuaci�n:

com.appandutilitytools.fileqrutility (lector QR y gestor de archivos)

com.ultimatefilesviewer.filemanagerwithpdfsupport (Lector de PDF y gestor de archivos)

Seg�n las estad�sticas disponibles en Sensor Tower, PDF Reader & File Manager se ha instalado entre 500 y 1.000 veces, mientras que la aplicaci�n de lectura de c�digos QR se ha instalado entre 50.000 y 100.000 veces.

"Una vez instalado, Anatsa exfiltra credenciales bancarias sensibles e informaci�n financiera de aplicaciones financieras globales", dijeron los investigadores Himanshu Sharma y Gajanan Khond. "Lo logra mediante el uso de t�cnicas de superposici�n y accesibilidad, lo que le permite interceptar y recopilar datos discretamente".

Zscaler dijo que identific� m�s de 90 aplicaciones maliciosas en la Play Store en los �ltimos meses que han tenido colectivamente m�s de 5,5 millones de instalaciones y se utilizaron para propagar varias familias de malware como Joker, Facestealer, Anatsa, Coper y otros adware.

Fuente: thehackernews