Logiciel malveillant mobile AllaSenha
Les banques brésiliennes sont confrontées à une nouvelle attaque avec l'introduction d'un cheval de Troie d'accès à distance (RAT) baptisé AllaSenha. Ce malware est conçu pour voler les informations d'identification cruciales pour l'accès aux comptes bancaires brésiliens, en utilisant le cloud Azure comme infrastructure de commande et de contrôle (C2). Les analystes qui examinent cette menace ont affirmé sa ressemblance avec une itération personnalisée du malware mobile AllaKore basé sur Windows.
Les institutions bancaires notables ciblées par cette offensive révélée comprennent Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob et Sicredi. Bien que la méthode précise d’accès initial reste non confirmée, des indications suggèrent l’utilisation de liens menaçants dans les communications de phishing.
Table des matières
L’étape initiale de la chaîne d’attaque délivrant AllaSenha RAT
L'attaque commence par un fichier de raccourci Windows (LNK) trompeur se faisant passer pour un document PDF (« NotaFiscal.pdf.lnk »), hébergé sur un serveur WebDAV depuis au moins mars 2024. De plus, certains éléments indiquent que les acteurs malveillants à l'origine de cette opération ont déjà exploité des services légitimes tels que Autodesk A360 Drive et GitHub pour héberger leurs charges utiles.
Lors de l'exécution, le fichier LNK déclenche un shell de commande Windows, qui affiche un faux fichier PDF au destinataire tout en récupérant une charge utile BAT nommée « c.cmd » à partir du même emplacement du serveur WebDAV.
Connu sous le nom de lanceur BPyCode, ce fichier lance une commande PowerShell codée en Base64, qui à son tour télécharge le binaire Python depuis le site officiel www.python.org pour exécuter un script Python nommé BPyCode.
Outils nuisibles supplémentaires déployés dans le cadre de l’attaque
BPyCode sert de téléchargeur pour une bibliothèque de liens dynamiques («executor.dll») et l'exécute en mémoire. La DLL est obtenue à partir d'un des noms de domaine générés via un algorithme de génération de domaine (DGA).
Les noms d'hôtes générés semblent correspondre à ceux liés au service Microsoft Azure Functions, une infrastructure sans serveur qui, dans ce contexte, permet aux opérateurs de déployer et de faire pivoter facilement leur infrastructure de transfert. En détail, BPyCode récupère un fichier pickle contenant trois éléments : un script de chargeur Python secondaire, une archive ZIP contenant le package PythonMemoryModule et une autre archive ZIP contenant "executor.dll".
Par la suite, le nouveau script de chargement Python est activé pour charger «executor.dll», un malware basé sur Borland Delphi, également connu sous le nom d'ExecutorLoader, en mémoire à l'aide de PythonMemoryModule. La fonction principale d'ExecutorLoader consiste à décoder et à exécuter AllaSenha en l'injectant dans un processus mshta.exe légitime.
Le RAT AllaSenha récolte les informations bancaires des victimes
En plus de collecter les informations d'identification bancaires en ligne stockées dans les navigateurs Web, AllaSenha possède la capacité de présenter des fenêtres superposées, permettant la capture de codes d'authentification à deux facteurs (2FA) et même de contraindre les victimes à scanner un code QR pour autoriser une transaction frauduleuse initiée par les attaquants. .
AllaSenha opère sous le nom de fichier original Access_PC_Client_dll.dll, désignation notamment associée au projet KL Gorki. Ce malware bancaire semble fusionner des éléments d’ AllaKore et d’une menace connue sous le nom de ServerSocket.
Un examen plus approfondi du code source lié au fichier LNK initial et à AllaSenha suggère l'implication d'un individu lusophone nommé bert1m dans le développement du malware. Cependant, il n’existe actuellement aucune preuve indiquant leur fonctionnement direct sur les outils.
Les chercheurs soulignent que les cybercriminels opérant en Amérique latine font preuve d’une productivité remarquable dans le lancement de campagnes de cybercriminalité. Bien que leur objectif principal soit de cibler des individus latino-américains pour voler des informations bancaires, ces acteurs compromettent fréquemment les ordinateurs exploités par des filiales ou des employés dans le monde entier, notamment au Brésil.
