Η AllaKore RAT στοχεύει μεξικανικά χρηματοπιστωτικά ιδρύματα
Μια πρόσφατη εκστρατεία spear-phishing έβαλε στο στόχαστρο τα μεξικανικά χρηματοπιστωτικά ιδρύματα, παρέχοντας μια τροποποιημένη έκδοση του AllaKore RAT, ενός trojan απομακρυσμένης πρόσβασης ανοιχτού κώδικα. Η Ομάδα Έρευνας και Πληροφοριών του BlackBerry εντόπισε αυτή τη δραστηριότητα σε έναν άγνωστο παράγοντα απειλής με οικονομικά κίνητρα με έδρα τη Λατινική Αμερική, ο οποίος δραστηριοποιείται τουλάχιστον από το 2021.
Η καμπάνια χρησιμοποιεί δέλεαρ που χρησιμοποιούν συμβάσεις ονομασίας του Μεξικανικού Ινστιτούτου Κοινωνικής Ασφάλισης (IMSS) και περιλαμβάνει συνδέσμους σε φαινομενικά νόμιμα έγγραφα κατά τη διαδικασία εγκατάστασης. Το τροποποιημένο ωφέλιμο φορτίο AllaKore RAT επιτρέπει στους παράγοντες απειλών να μεταδίδουν κλεμμένα τραπεζικά διαπιστευτήρια και μοναδικές λεπτομέρειες ελέγχου ταυτότητας σε έναν διακομιστή εντολών και ελέγχου (C2), διευκολύνοντας την οικονομική απάτη.
Οι επιθέσεις φαίνεται να έχουν σχεδιαστεί ειδικά για να στοχεύουν μεγάλες εταιρείες με ακαθάριστα έσοδα άνω των 100 εκατομμυρίων δολαρίων σε διάφορους τομείς όπως το λιανικό εμπόριο, η γεωργία, ο δημόσιος τομέας, η μεταποίηση, οι μεταφορές, οι εμπορικές υπηρεσίες, τα κεφαλαιουχικά αγαθά και οι τράπεζες.
AllaKore RAT Infection Chain
Η διαδικασία μόλυνσης ξεκινά με ένα αρχείο ZIP που διανέμεται είτε μέσω ηλεκτρονικού ψαρέματος είτε μέσω συμβιβασμών μέσω οδήγησης. Αυτό το αρχείο ZIP περιέχει ένα αρχείο εγκατάστασης MSI, το οποίο αναπτύσσει ένα πρόγραμμα λήψης .NET υπεύθυνο για την επιβεβαίωση της μεξικανικής γεωγραφικής θέσης του θύματος. Στη συνέχεια, ανακτάται ο τροποποιημένος RAT AllaKore, ένας RAT με βάση τους Δελφούς που αρχικά αναγνωρίστηκε το 2015.
Ενώ το AllaKore RAT περιγράφεται ως κάπως βασικό, διαθέτει ισχυρές δυνατότητες όπως καταγραφή πλήκτρων, λήψη οθόνης, αποστολή/λήψη αρχείων και τηλεχειρισμό του μηχανήματος του θύματος, σύμφωνα με το BlackBerry. Ο παράγοντας απειλών έχει βελτιώσει το κακόβουλο λογισμικό προσθέτοντας λειτουργίες που σχετίζονται με τραπεζική απάτη, στοχεύοντας τράπεζες του Μεξικού και πλατφόρμες συναλλαγών κρυπτονομισμάτων. Αυτές οι προσθήκες περιλαμβάνουν τη δυνατότητα εκκίνησης ενός αντίστροφου κελύφους, εξαγωγής περιεχομένου από το πρόχειρο και ανάκτησης και εκτέλεσης πρόσθετων ωφέλιμων φορτίων.
Η σύνδεση στη Λατινική Αμερική του παράγοντα απειλής αποδεικνύεται από τη χρήση των IP του Mexico Starlink στην εκστρατεία και τη συμπερίληψη οδηγιών στην ισπανική γλώσσα στο τροποποιημένο ωφέλιμο φορτίο RAT. Επιπλέον, τα θέλγητρα που χρησιμοποιούνται είναι ειδικά σχεδιασμένα για εταιρείες επαρκούς μεγέθους ώστε να αναφέρονται απευθείας στο τμήμα του Μεξικανικού Ινστιτούτου Κοινωνικής Ασφάλισης (IMSS).
