AllaKore RAT richt zich op Mexicaanse financiële instellingen
Een recente spearphishing-campagne heeft Mexicaanse financiële instellingen in het vizier gebracht en een aangepaste versie opgeleverd van de AllaKore RAT, een open-source trojan voor externe toegang. Het BlackBerry Research and Intelligence Team heeft deze activiteit getraceerd tot een onbekende financieel gemotiveerde dreigingsactoren gevestigd in Latijns-Amerika, actief sinds ten minste 2021.
De campagne maakt gebruik van kunstaas die gebruik maakt van de naamgevingsconventies van het Mexican Social Security Institute (IMSS) en bevat links naar ogenschijnlijk legitieme documenten tijdens het installatieproces. Dankzij de aangepaste AllaKore RAT-payload kunnen bedreigingsactoren gestolen bankgegevens en unieke authenticatiegegevens naar een command-and-control (C2)-server verzenden, waardoor financiële fraude wordt vergemakkelijkt.
De aanvallen lijken specifiek gericht te zijn op grote bedrijven met een bruto-omzet van meer dan 100 miljoen dollar in verschillende sectoren, zoals de detailhandel, de landbouw, de publieke sector, de productie, het transport, de commerciële dienstverlening, kapitaalgoederen en het bankwezen.
AllaKore RAT-infectieketen
Het infectieproces begint met een ZIP-bestand dat wordt verspreid via phishing of drive-by-compromissen. Dit ZIP-bestand bevat een MSI-installatiebestand, dat een .NET-downloader implementeert die verantwoordelijk is voor het bevestigen van de Mexicaanse geolocatie van het slachtoffer. Vervolgens wordt de gewijzigde AllaKore RAT, een op Delphi gebaseerde RAT die aanvankelijk in 2015 werd geïdentificeerd, opgehaald.
Hoewel AllaKore RAT als enigszins basaal wordt beschreven, beschikt het volgens BlackBerry over krachtige mogelijkheden zoals keylogging, schermopname, uploaden/downloaden van bestanden en afstandsbediening van de machine van het slachtoffer. De bedreigingsacteur heeft de malware verbeterd door functionaliteiten toe te voegen die verband houden met bankfraude, gericht op Mexicaanse banken en cryptohandelplatforms. Deze toevoegingen omvatten de mogelijkheid om een omgekeerde shell te starten, klembordinhoud te extraheren en extra payloads op te halen en uit te voeren.
De Latijns-Amerikaanse connectie van de bedreigingsacteur blijkt uit het gebruik van Mexico Starlink IP’s in de campagne en de opname van Spaanstalige instructies in de gewijzigde RAT-payload. Bovendien zijn de gebruikte lokmiddelen specifiek ontworpen voor bedrijven die voldoende groot zijn om rechtstreeks te rapporteren aan de afdeling van het Mexicaanse Sociale Zekerheidsinstituut (IMSS).