AllaKore RAT 针对墨西哥金融机构
最近的鱼叉式网络钓鱼活动已将墨西哥金融机构置于攻击目标,该活动传播了开源远程访问木马 AllaKore RAT 的修改版本。黑莓研究和情报团队已追踪到这一活动是来自拉丁美洲的一个身份不明、出于经济动机的威胁行为者,该行为者至少自 2021 年以来一直活跃。
该活动使用墨西哥社会保障协会 (IMSS) 命名约定进行诱饵,并在安装过程中包含看似合法文档的链接。修改后的 AllaKore RAT 有效负载使威胁行为者能够将窃取的银行凭证和独特的身份验证详细信息传输到命令和控制 (C2) 服务器,从而促进金融欺诈。
这些攻击似乎专门针对总收入超过 1 亿美元的大公司,涉及零售、农业、公共部门、制造、运输、商业服务、资本货物和银行等各个部门。
AllaKore RAT 感染链
感染过程从通过网络钓鱼或偷渡式攻击分发的 ZIP 文件开始。此 ZIP 文件包含一个 MSI 安装程序文件,该文件部署一个 .NET 下载程序,负责确认受害者的墨西哥地理位置。随后,更改后的 AllaKore RAT(一种最初于 2015 年识别的基于 Delphi 的 RAT)被检索。
据黑莓称,虽然 AllaKore RAT 被描述为有些基础,但它拥有强大的功能,例如键盘记录、屏幕捕获、文件上传/下载以及对受害者机器的远程控制。威胁行为者通过添加与银行欺诈相关的功能来增强恶意软件,目标是墨西哥银行和加密货币交易平台。这些新增功能包括启动反向 shell、提取剪贴板内容以及获取和执行其他有效负载的能力。
攻击者在活动中使用墨西哥星链 IP 以及在修改后的 RAT 有效负载中包含西班牙语指令,证明了威胁行为者与拉丁美洲的联系。此外,所使用的诱饵是专门为规模足够大、可以直接向墨西哥社会保障研究所(IMSS)部门报告的公司设计的。