AllaKore RAT tem como alvo instituições financeiras mexicanas
Uma recente campanha de spear-phishing colocou instituições financeiras mexicanas na sua mira, entregando uma versão modificada do AllaKore RAT, um trojan de acesso remoto de código aberto. A equipe de pesquisa e inteligência do BlackBerry rastreou esta atividade até um ator de ameaça não identificado com motivação financeira baseado na América Latina, ativo desde pelo menos 2021.
A campanha emprega iscas utilizando convenções de nomenclatura do Instituto Mexicano de Segurança Social (IMSS) e inclui links para documentos aparentemente legítimos durante o processo de instalação. A carga útil AllaKore RAT modificada permite que os agentes de ameaças transmitam credenciais bancárias roubadas e detalhes de autenticação exclusivos para um servidor de comando e controle (C2), facilitando a fraude financeira.
Os ataques parecem concebidos para atingir especificamente grandes empresas com receitas brutas superiores a 100 milhões de dólares em vários sectores, como o retalho, a agricultura, o sector público, a indústria transformadora, os transportes, os serviços comerciais, os bens de capital e a banca.
Cadeia de infecção AllaKore RAT
O processo de infecção inicia com um arquivo ZIP distribuído por meio de phishing ou drive-by. Este arquivo ZIP contém um arquivo instalador MSI, que implanta um downloader .NET responsável por confirmar a geolocalização mexicana da vítima. Posteriormente, o AllaKore RAT alterado, um RAT baseado em Delphi identificado inicialmente em 2015, é recuperado.
Embora o AllaKore RAT seja descrito como um tanto básico, ele possui recursos potentes, como keylogging, captura de tela, upload/download de arquivos e controle remoto da máquina da vítima, de acordo com o BlackBerry. O ator da ameaça aprimorou o malware adicionando funcionalidades relacionadas a fraudes bancárias, visando bancos mexicanos e plataformas de negociação de criptografia. Essas adições incluem a capacidade de iniciar um shell reverso, extrair o conteúdo da área de transferência e buscar e executar cargas adicionais.
A conexão latino-americana do ator da ameaça é evidenciada pelo uso de IPs Starlink do México na campanha e pela inclusão de instruções em espanhol na carga útil RAT modificada. Além disso, as iscas utilizadas são especificamente concebidas para empresas de dimensão suficiente para se reportarem diretamente ao departamento do Instituto Mexicano de Segurança Social (IMSS).
