AllaKore RAT zielt auf mexikanische Finanzinstitute ab
Eine aktuelle Spear-Phishing-Kampagne hat mexikanische Finanzinstitute ins Visier genommen und eine modifizierte Version des AllaKore RAT, eines Open-Source-Fernzugriffstrojaners, bereitgestellt. Das BlackBerry Research and Intelligence Team hat diese Aktivität auf einen nicht identifizierten, finanziell motivierten Bedrohungsakteur mit Sitz in Lateinamerika zurückgeführt, der seit mindestens 2021 aktiv ist.
Die Kampagne verwendet Köder, die Namenskonventionen des mexikanischen Instituts für soziale Sicherheit (IMSS) nutzen, und enthält während des Installationsprozesses Links zu scheinbar legitimen Dokumenten. Die modifizierte AllaKore RAT-Nutzlast ermöglicht es Bedrohungsakteuren, gestohlene Bankzugangsdaten und eindeutige Authentifizierungsdaten an einen Command-and-Control-Server (C2) zu übermitteln und so Finanzbetrug zu erleichtern.
Die Angriffe scheinen speziell auf große Unternehmen mit einem Bruttoumsatz von mehr als 100 Millionen US-Dollar in verschiedenen Sektoren wie Einzelhandel, Landwirtschaft, öffentlicher Sektor, Fertigung, Transport, kommerzielle Dienstleistungen, Investitionsgüter und Banken zugeschnitten zu sein.
AllaKore RAT-Infektionskette
Der Infektionsprozess wird mit einer ZIP-Datei eingeleitet, die entweder durch Phishing oder Drive-by-Kompromittierung verbreitet wird. Diese ZIP-Datei enthält eine MSI-Installationsdatei, die einen .NET-Downloader bereitstellt, der für die Bestätigung des mexikanischen Standorts des Opfers verantwortlich ist. Anschließend wird das veränderte AllaKore RAT, ein Delphi-basiertes RAT, das ursprünglich im Jahr 2015 identifiziert wurde, abgerufen.
Während AllaKore RAT als eher einfach beschrieben wird, verfügt es laut BlackBerry über leistungsstarke Funktionen wie Keylogging, Bildschirmaufnahme, Hoch-/Herunterladen von Dateien und Fernsteuerung des Computers des Opfers. Der Bedrohungsakteur hat die Malware durch das Hinzufügen von Funktionalitäten im Zusammenhang mit Bankbetrug verbessert und zielt auf mexikanische Banken und Krypto-Handelsplattformen ab. Zu diesen Ergänzungen gehört die Möglichkeit, eine Reverse-Shell zu starten, den Inhalt der Zwischenablage zu extrahieren und zusätzliche Nutzlasten abzurufen und auszuführen.
Die lateinamerikanische Verbindung des Bedrohungsakteurs wird durch die Verwendung mexikanischer Starlink-IPs in der Kampagne und die Aufnahme spanischsprachiger Anweisungen in die modifizierte RAT-Nutzlast belegt. Darüber hinaus sind die eingesetzten Lockmittel speziell für Unternehmen konzipiert, die groß genug sind, um direkt der Abteilung des mexikanischen Instituts für soziale Sicherheit (IMSS) unterstellt zu sein.
