AllaKore RAT riktar sig till mexikanska finansiella institutioner
En nyligen genomförd spjutfiskekampanj har satt mexikanska finansinstitut i sitt hårkors och levererar en modifierad version av AllaKore RAT, en trojan för fjärråtkomst med öppen källkod. BlackBerry Research and Intelligence Team har spårat denna aktivitet till en oidentifierad ekonomiskt motiverad hotaktör baserad i Latinamerika, verksam sedan åtminstone 2021.
Kampanjen använder sig av beten som använder mexikanska socialförsäkringsinstitutets (IMSS) namnkonventioner och inkluderar länkar till till synes legitima dokument under installationsprocessen. Den modifierade AllaKore RAT-nyttolasten gör det möjligt för hotaktörer att överföra stulna bankuppgifter och unika autentiseringsdetaljer till en kommando-och-kontroll-server (C2), vilket underlättar ekonomiskt bedrägeri.
Attackerna verkar skräddarsydda för att specifikt rikta in sig på stora företag med bruttointäkter på över 100 miljoner dollar inom olika sektorer som detaljhandel, jordbruk, offentlig sektor, tillverkning, transport, kommersiella tjänster, kapitalvaror och bank.
AllaKore RAT infektionskedja
Infektionsprocessen inleds med en ZIP-fil som distribueras genom antingen nätfiske eller drive-by-kompromisser. Denna ZIP-fil innehåller en MSI-installationsfil, som distribuerar en .NET-nedladdare som ansvarar för att bekräfta offrets mexikanska geolokalisering. Därefter hämtas den ändrade AllaKore RAT, en Delphi-baserad RAT som ursprungligen identifierades 2015.
Medan AllaKore RAT beskrivs som något grundläggande, besitter den potenta funktioner som tangentloggning, skärmdumpning, filuppladdning/nedladdning och fjärrkontroll av offrets maskin, enligt BlackBerry. Hotaktören har förbättrat skadlig programvara genom att lägga till funktioner relaterade till bankbedrägerier, riktade mot mexikanska banker och kryptohandelsplattformar. Dessa tillägg inkluderar möjligheten att starta ett omvänt skal, extrahera innehåll från urklipp och hämta och köra ytterligare nyttolaster.
Hotaktörens latinamerikanska koppling bevisas av användningen av Mexico Starlink IPs i kampanjen och inkluderingen av spanskspråkiga instruktioner i den modifierade RAT-nyttolasten. Dessutom är de beten som används specifikt utformade för företag av tillräcklig storlek för att direkt rapportera till avdelningen för mexikanska socialförsäkringsinstitutet (IMSS).