AllaKore RAT cible les institutions financières mexicaines

Une récente campagne de spear phishing a mis les institutions financières mexicaines dans sa ligne de mire, en délivrant une version modifiée d'AllaKore RAT, un cheval de Troie open source d'accès à distance. L'équipe de recherche et de renseignement de BlackBerry a attribué cette activité à un acteur malveillant non identifié, motivé par des raisons financières, basé en Amérique latine, actif depuis au moins 2021.

La campagne utilise des leurres utilisant les conventions de dénomination de l'Institut mexicain de sécurité sociale (IMSS) et inclut des liens vers des documents apparemment légitimes pendant le processus d'installation. La charge utile AllaKore RAT modifiée permet aux acteurs malveillants de transmettre des informations d'identification bancaires volées et des détails d'authentification uniques à un serveur de commande et de contrôle (C2), facilitant ainsi la fraude financière.

Les attaques semblent conçues pour cibler spécifiquement les grandes entreprises dont les revenus bruts dépassent 100 millions de dollars dans divers secteurs tels que la vente au détail, l'agriculture, le secteur public, l'industrie manufacturière, les transports, les services commerciaux, les biens d'équipement et la banque.

Chaîne d'infection AllaKore RAT

Le processus d'infection démarre avec un fichier ZIP distribué via un phishing ou une compromission drive-by. Ce fichier ZIP contient un fichier d'installation MSI, qui déploie un téléchargeur .NET chargé de confirmer la géolocalisation mexicaine de la victime. Par la suite, le RAT AllaKore modifié, un RAT basé sur Delphi initialement identifié en 2015, est récupéré.

Bien qu'AllaKore RAT soit décrit comme quelque peu basique, il possède des fonctionnalités puissantes telles que l'enregistrement au clavier, la capture d'écran, le téléchargement/téléchargement de fichiers et le contrôle à distance de la machine de la victime, selon BlackBerry. L'acteur malveillant a amélioré le logiciel malveillant en ajoutant des fonctionnalités liées à la fraude bancaire, ciblant les banques mexicaines et les plateformes de trading de crypto-monnaies. Ces ajouts incluent la possibilité de lancer un shell inversé, d'extraire le contenu du presse-papiers et de récupérer et d'exécuter des charges utiles supplémentaires.

La connexion latino-américaine de l’acteur menaçant est mise en évidence par l’utilisation des adresses IP Starlink du Mexique dans la campagne et par l’inclusion d’instructions en espagnol dans la charge utile RAT modifiée. De plus, les leurres employés sont spécialement conçus pour les entreprises de taille suffisante pour dépendre directement du département de l'Institut mexicain de sécurité sociale (IMSS).

Par Zaib
January 29, 2024
Computer Security
Français
January 29, 2024
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.