Az AllaKore RAT a mexikói pénzintézeteket célozza meg
Egy közelmúltbeli adathalász kampány a mexikói pénzintézeteket állította célkeresztjébe, és az AllaKore RAT, egy nyílt forráskódú távoli hozzáférésű trójai módosított változatát szállította. A BlackBerry Research and Intelligence Team ezt a tevékenységet egy azonosítatlan, latin-amerikai székhelyű, pénzügyileg motivált fenyegetési szereplőre vezette vissza, aki legalább 2021 óta aktív.
A kampány a Mexican Social Security Institute (IMSS) elnevezési konvencióit használó csalikat alkalmaz, és a telepítés során a látszólag legitim dokumentumokra mutató hivatkozásokat tartalmaz. A módosított AllaKore RAT rakomány lehetővé teszi a fenyegetés szereplői számára, hogy ellopott banki hitelesítő adatokat és egyedi hitelesítési adatokat továbbítsanak egy parancs- és vezérlő (C2) szerverre, megkönnyítve ezzel a pénzügyi csalást.
Úgy tűnik, hogy a támadásokat kifejezetten a 100 millió dollárt meghaladó bruttó bevétellel rendelkező nagyvállalatokra szabták ki különböző szektorokban, például a kiskereskedelemben, a mezőgazdaságban, a közszférában, a gyártásban, a szállításban, a kereskedelmi szolgáltatásokban, a beruházási javakban és a bankszektorban.
AllaKore RAT fertőzési lánc
A fertőzési folyamat egy ZIP-fájllal indul, amelyet adathalászattal vagy meghajtókon keresztül terjesztettek. Ez a ZIP-fájl egy MSI telepítőfájlt tartalmaz, amely egy .NET letöltőt telepít, amely az áldozat mexikói földrajzi helyének ellenőrzéséért felelős. Ezt követően a módosított AllaKore RAT, egy Delphi-alapú RAT, amelyet eredetileg 2015-ben azonosítottak, lekérik.
Noha az AllaKore RAT-ot kissé alapszintűnek írják le, a BlackBerry szerint olyan hatékony képességekkel rendelkezik, mint a billentyűnaplózás, a képernyőrögzítés, a fájlok feltöltése/letöltése és az áldozat gépének távvezérlése. A fenyegetettség szereplője továbbfejlesztette a kártevőt a banki csaláshoz kapcsolódó funkciókkal, amelyek a mexikói bankokat és a kriptokereskedési platformokat célozták meg. Ezek a kiegészítések magukban foglalják a fordított shell indításának lehetőségét, a vágólap tartalmának kibontását, valamint további hasznos terhelések lekérését és végrehajtását.
A fenyegetettség szereplőjének latin-amerikai kapcsolatát bizonyítja a mexikói Starlink IP-k használata a kampányban, valamint a spanyol nyelvű utasítások beépítése a módosított RAT rakományba. Ezen túlmenően, az alkalmazott csalik kifejezetten megfelelő méretű vállalatok számára készültek ahhoz, hogy közvetlenül a Mexican Social Security Institute (IMSS) osztályának jelentsenek.