AllaKore RAT cible les institutions financières mexicaines
Une récente campagne de spear phishing a mis les institutions financières mexicaines dans sa ligne de mire, en délivrant une version modifiée d'AllaKore RAT, un cheval de Troie open source d'accès à distance. L'équipe de recherche et de renseignement de BlackBerry a attribué cette activité à un acteur malveillant non identifié, motivé par des raisons financières, basé en Amérique latine, actif depuis au moins 2021.
La campagne utilise des leurres utilisant les conventions de dénomination de l'Institut mexicain de sécurité sociale (IMSS) et inclut des liens vers des documents apparemment légitimes pendant le processus d'installation. La charge utile AllaKore RAT modifiée permet aux acteurs malveillants de transmettre des informations d'identification bancaires volées et des détails d'authentification uniques à un serveur de commande et de contrôle (C2), facilitant ainsi la fraude financière.
Les attaques semblent conçues pour cibler spécifiquement les grandes entreprises dont les revenus bruts dépassent 100 millions de dollars dans divers secteurs tels que la vente au détail, l'agriculture, le secteur public, l'industrie manufacturière, les transports, les services commerciaux, les biens d'équipement et la banque.
Chaîne d'infection AllaKore RAT
Le processus d'infection démarre avec un fichier ZIP distribué via un phishing ou une compromission drive-by. Ce fichier ZIP contient un fichier d'installation MSI, qui déploie un téléchargeur .NET chargé de confirmer la géolocalisation mexicaine de la victime. Par la suite, le RAT AllaKore modifié, un RAT basé sur Delphi initialement identifié en 2015, est récupéré.
Bien qu'AllaKore RAT soit décrit comme quelque peu basique, il possède des fonctionnalités puissantes telles que l'enregistrement au clavier, la capture d'écran, le téléchargement/téléchargement de fichiers et le contrôle à distance de la machine de la victime, selon BlackBerry. L'acteur malveillant a amélioré le logiciel malveillant en ajoutant des fonctionnalités liées à la fraude bancaire, ciblant les banques mexicaines et les plateformes de trading de crypto-monnaies. Ces ajouts incluent la possibilité de lancer un shell inversé, d'extraire le contenu du presse-papiers et de récupérer et d'exécuter des charges utiles supplémentaires.
La connexion latino-américaine de l’acteur menaçant est mise en évidence par l’utilisation des adresses IP Starlink du Mexique dans la campagne et par l’inclusion d’instructions en espagnol dans la charge utile RAT modifiée. De plus, les leurres employés sont spécialement conçus pour les entreprises de taille suffisante pour dépendre directement du département de l'Institut mexicain de sécurité sociale (IMSS).