AllaKore RAT richt zich op Mexicaanse financiële instellingen

Een recente spearphishing-campagne heeft Mexicaanse financiële instellingen in het vizier gebracht en een aangepaste versie opgeleverd van de AllaKore RAT, een open-source trojan voor externe toegang. Het BlackBerry Research and Intelligence Team heeft deze activiteit getraceerd tot een onbekende financieel gemotiveerde dreigingsactoren gevestigd in Latijns-Amerika, actief sinds ten minste 2021.

De campagne maakt gebruik van kunstaas die gebruik maakt van de naamgevingsconventies van het Mexican Social Security Institute (IMSS) en bevat links naar ogenschijnlijk legitieme documenten tijdens het installatieproces. Dankzij de aangepaste AllaKore RAT-payload kunnen bedreigingsactoren gestolen bankgegevens en unieke authenticatiegegevens naar een command-and-control (C2)-server verzenden, waardoor financiële fraude wordt vergemakkelijkt.

De aanvallen lijken specifiek gericht te zijn op grote bedrijven met een bruto-omzet van meer dan 100 miljoen dollar in verschillende sectoren, zoals de detailhandel, de landbouw, de publieke sector, de productie, het transport, de commerciële dienstverlening, kapitaalgoederen en het bankwezen.

AllaKore RAT-infectieketen

Het infectieproces begint met een ZIP-bestand dat wordt verspreid via phishing of drive-by-compromissen. Dit ZIP-bestand bevat een MSI-installatiebestand, dat een .NET-downloader implementeert die verantwoordelijk is voor het bevestigen van de Mexicaanse geolocatie van het slachtoffer. Vervolgens wordt de gewijzigde AllaKore RAT, een op Delphi gebaseerde RAT die aanvankelijk in 2015 werd geïdentificeerd, opgehaald.

Hoewel AllaKore RAT als enigszins basaal wordt beschreven, beschikt het volgens BlackBerry over krachtige mogelijkheden zoals keylogging, schermopname, uploaden/downloaden van bestanden en afstandsbediening van de machine van het slachtoffer. De bedreigingsacteur heeft de malware verbeterd door functionaliteiten toe te voegen die verband houden met bankfraude, gericht op Mexicaanse banken en cryptohandelplatforms. Deze toevoegingen omvatten de mogelijkheid om een omgekeerde shell te starten, klembordinhoud te extraheren en extra payloads op te halen en uit te voeren.

De Latijns-Amerikaanse connectie van de bedreigingsacteur blijkt uit het gebruik van Mexico Starlink IP’s in de campagne en de opname van Spaanstalige instructies in de gewijzigde RAT-payload. Bovendien zijn de gebruikte lokmiddelen specifiek ontworpen voor bedrijven die voldoende groot zijn om rechtstreeks te rapporteren aan de afdeling van het Mexicaanse Sociale Zekerheidsinstituut (IMSS).

Tegen Zaib
January 29, 2024
Computer Security
Nederlands
January 29, 2024
Computer Security

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.