AllaKore RAT atakuje meksykańskie instytucje finansowe
Niedawna kampania typu spear-phishing postawiła na celowniku meksykańskie instytucje finansowe, dostarczając zmodyfikowaną wersję AllaKore RAT, trojana zdalnego dostępu o otwartym kodzie źródłowym. Zespół ds. badań i wywiadu BlackBerry nawiązał tę aktywność do niezidentyfikowanego ugrupowania zagrażającego o motywach finansowych z siedzibą w Ameryce Łacińskiej, aktywnego od co najmniej 2021 roku.
Kampania wykorzystuje przynęty wykorzystujące konwencje nazewnictwa Meksykańskiego Instytutu Ubezpieczeń Społecznych (IMSS) i zawiera łącza do pozornie legalnych dokumentów podczas procesu instalacji. Zmodyfikowany ładunek AllaKore RAT umożliwia cyberprzestępcom przesyłanie skradzionych danych bankowych i unikalnych szczegółów uwierzytelniania do serwera dowodzenia i kontroli (C2), ułatwiając oszustwa finansowe.
Ataki wydają się być specjalnie dostosowane do dużych firm o przychodach brutto przekraczających 100 milionów dolarów w różnych sektorach, takich jak handel detaliczny, rolnictwo, sektor publiczny, produkcja, transport, usługi komercyjne, dobra kapitałowe i bankowość.
Łańcuch infekcji AllaKore RAT
Proces infekcji rozpoczyna się od pliku ZIP rozpowszechnianego w wyniku phishingu lub ataków typu drive-by. Ten plik ZIP zawiera plik instalatora MSI, który wdraża moduł pobierania .NET odpowiedzialny za potwierdzenie meksykańskiej geolokalizacji ofiary. Następnie odzyskiwany jest zmieniony AllaKore RAT, RAT z siedzibą w Delphi, pierwotnie zidentyfikowany w 2015 roku.
Chociaż AllaKore RAT jest opisywany jako dość prosty, według BlackBerry posiada potężne możliwości, takie jak rejestrowanie klawiszy, przechwytywanie ekranu, przesyłanie/pobieranie plików i zdalne sterowanie maszyną ofiary. Osoba zagrażająca ulepszyła szkodliwe oprogramowanie, dodając funkcje związane z oszustwami bankowymi, których celem są meksykańskie banki i platformy handlu kryptowalutami. Dodatki te obejmują możliwość uruchomienia powłoki odwrotnej, wyodrębnienia zawartości schowka oraz pobrania i wykonania dodatkowych ładunków.
Dowodem powiązań ugrupowania zagrażającego z Ameryki Łacińskiej jest wykorzystanie w kampanii adresów IP Mexico Starlink oraz dodanie instrukcji w języku hiszpańskim do zmodyfikowanego ładunku RAT. Co więcej, stosowane przynęty są specjalnie zaprojektowane dla firm o wystarczającej wielkości, aby bezpośrednio podlegać wydziałowi Meksykańskiego Instytutu Ubezpieczeń Społecznych (IMSS).