„AllaKore RAT“ taikosi į Meksikos finansų institucijas
Neseniai vykusios sukčiavimo spygliuočių kampanijoje atsidūrė Meksikos finansų institucijos, kurios pristatė modifikuotą AllaKore RAT – atvirojo kodo nuotolinės prieigos Trojos arklys – versiją. „BlackBerry“ tyrimų ir žvalgybos komanda šią veiklą atsekė su nenustatytu finansiškai motyvuotu grėsmės veikėju, įsikūrusiu Lotynų Amerikoje, veikiančiu mažiausiai nuo 2021 m.
Kampanijoje naudojami masalai, naudojant Meksikos socialinės apsaugos instituto (IMSS) pavadinimų taisykles, ir įtraukiamos nuorodos į iš pažiūros teisėtus dokumentus diegimo proceso metu. Modifikuotas AllaKore RAT krovinys leidžia grėsmės veikėjams perduoti pavogtus banko kredencialus ir unikalią autentifikavimo informaciją į komandų ir valdymo (C2) serverį, taip palengvinant finansinį sukčiavimą.
Panašu, kad išpuoliai yra specialiai skirti didelėms įmonėms, kurių bendrosios pajamos viršija 100 mln.
AllaKore RAT infekcijos grandinė
Užsikrėtimo procesas pradedamas naudojant ZIP failą, platinamą sukčiavimo būdu arba per klaidą. Šiame ZIP faile yra MSI diegimo programos failas, kuriame įdiegta .NET atsisiuntimo programa, atsakinga už aukos Meksikos geografinės vietos patvirtinimą. Vėliau paimamas pakeistas AllaKore RAT, Delphi pagrįstas RAT, kuris iš pradžių buvo nustatytas 2015 m.
„BlackBerry“ teigimu, „AllaKore RAT“ apibūdinamas kaip šiek tiek paprastas, tačiau jis turi galingų funkcijų, tokių kaip klaviatūros įrašymas, ekrano fiksavimas, failų įkėlimas / atsisiuntimas ir aukos įrenginio nuotolinis valdymas. Grėsmės veikėjas patobulino kenkėjišką programinę įrangą, pridėdamas su bankiniu sukčiavimu susijusių funkcijų, nukreiptų į Meksikos bankus ir kriptovaliutų prekybos platformas. Šie papildymai apima galimybę paleisti atvirkštinį apvalkalą, išgauti iškarpinės turinį ir gauti bei vykdyti papildomus naudingus krovinius.
Apie grėsmės veikėjo ryšį su Lotynų amerikietiškumu liudija Meksikos Starlink IP naudojimas kampanijoje ir instrukcijų ispanų kalba įtraukimas į pakeistą RAT naudingą apkrovą. Be to, naudojami masalai yra specialiai sukurti pakankamai didelėms įmonėms, kad galėtų tiesiogiai pranešti Meksikos socialinės apsaugos instituto (IMSS) skyriui.