AllaKore RAT prende di mira le istituzioni finanziarie messicane
Una recente campagna di spear-phishing ha messo nel mirino le istituzioni finanziarie messicane, fornendo una versione modificata di AllaKore RAT, un trojan di accesso remoto open source. Il BlackBerry Research and Intelligence Team ha ricondotto questa attività a un attore di minacce non identificato con motivazioni finanziarie con sede in America Latina, attivo almeno dal 2021.
La campagna utilizza esche che utilizzano le convenzioni di denominazione dell'Istituto messicano di previdenza sociale (IMSS) e include collegamenti a documenti apparentemente legittimi durante il processo di installazione. Il payload AllaKore RAT modificato consente agli autori delle minacce di trasmettere credenziali bancarie rubate e dettagli di autenticazione univoci a un server di comando e controllo (C2), facilitando le frodi finanziarie.
Gli attacchi sembrano mirati specificamente a colpire le grandi aziende con ricavi lordi superiori a 100 milioni di dollari in vari settori come vendita al dettaglio, agricoltura, settore pubblico, produzione, trasporti, servizi commerciali, beni d’investimento e banche.
Catena di infezione dai RATTI AllaKore
Il processo di infezione inizia con un file ZIP distribuito tramite phishing o compromissioni drive-by. Questo file ZIP contiene un file di installazione MSI, che distribuisce un downloader .NET responsabile della conferma della geolocalizzazione messicana della vittima. Successivamente, viene recuperato l'AllaKore RAT modificato, un RAT basato su Delphi inizialmente identificato nel 2015.
Anche se AllaKore RAT viene descritto come basilare, secondo BlackBerry possiede potenti funzionalità come keylogging, cattura dello schermo, caricamento/download di file e controllo remoto del computer della vittima. L'autore della minaccia ha potenziato il malware aggiungendo funzionalità relative alle frodi bancarie, prendendo di mira le banche messicane e le piattaforme di trading di criptovalute. Queste aggiunte includono la possibilità di avviare una shell inversa, estrarre il contenuto degli appunti e recuperare ed eseguire carichi utili aggiuntivi.
Il collegamento latino-americano dell'autore della minaccia è evidenziato dall'uso degli IP messicani Starlink nella campagna e dall'inclusione di istruzioni in lingua spagnola nel payload RAT modificato. Inoltre, le esche utilizzate sono progettate specificamente per le aziende di dimensioni sufficienti per riferire direttamente al dipartimento dell'Istituto messicano di previdenza sociale (IMSS).
