La empresa de ciberseguridad HarfangLab, descubrió una nueva variante personalizada del Troyano de acceso remoto (RAT) AllaKore que fue utilizada para atacar a entidades bancarias brasileñas. Dicho troyano, basado en Windows llamado AllaSenha, sirve para robar credenciales y acceder a cuentas de clientes, aprovechando la nube de Azure como infraestructura de comando y control (C2).

Algunas de las entidades bancarias afectadas fueron, Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob y Sicredi. Según se supo, el vector de acceso se dio a través de mensajes de phishing en la que, un archivo malicioso de acceso directo de Windows (LNK), se hace pasar por un documento PDF («NotaFiscal.pdf.lnk») alojado en un servidor WebDAV desde al menos, marzo de 2024.

«Los actores de amenazas que operan en América Latina parecen ser una fuente particularmente productiva de campañas de cibercrimen», dijo HarfangLab.

Además de robar credenciales de clientes en línea, AllaSenha viene con la capacidad de mostrar ventanas superpuestas para capturar códigos de autenticación de dos factores (2FA), e incluso engañar a una víctima para que escanee un código QR para aprobar una transacción fraudulenta iniciada por los atacantes.

Un análisis más detallado del código fuente asociado con el archivo LNK inicial y las muestras de AllaSenha, han revelado que un usuario de habla portuguesa llamado bert1m probablemente esté vinculado al desarrollo del malware, aunque no hay evidencia en esta etapa que sugiera que estén operando dicha variante.

«El malware distribuido por correo electrónico insta al usuario a hacer clic en el archivo adjunto», afirmó el investigador de seguridad Prashant Kumar. «El archivo adjunto contiene código malicioso que realiza una serie de actividades y compromete los datos de los clientes».

Fuente

https://thehackernews.com/2024/05/brazilian-banks-targeted-by-new.html