AllaKore RAT 針對墨西哥金融機構
最近的魚叉式網路釣魚活動已將墨西哥金融機構置於攻擊目標,該活動傳播了開源遠端存取木馬 AllaKore RAT 的修改版本。黑莓研究和情報團隊已追蹤到這項活動是來自拉丁美洲的一個身份不明、出於經濟動機的威脅行為者,該行為者至少自 2021 年以來一直活躍。
該活動使用墨西哥社會保障協會 (IMSS) 命名約定進行誘餌,並在安裝過程中包含看似合法文件的連結。修改後的 AllaKore RAT 有效負載使威脅行為者能夠將竊取的銀行憑證和獨特的身份驗證詳細資訊傳輸到命令和控制 (C2) 伺服器,從而促進金融詐欺。
這些攻擊似乎專門針對總收入超過 1 億美元的大公司,涉及零售、農業、公共部門、製造、運輸、商業服務、資本貨物和銀行等各個部門。
AllaKore RAT 感染鏈
感染過程從透過網路釣魚或偷渡式攻擊分發的 ZIP 檔案開始。此 ZIP 文件包含一個 MSI 安裝程序文件,該文件部署一個 .NET 下載程序,負責確認受害者的墨西哥地理位置。隨後,更改後的 AllaKore RAT(一種最初於 2015 年識別的基於 Delphi 的 RAT)被檢索。
據黑莓稱,雖然 AllaKore RAT 被描述為有些基礎,但它擁有強大的功能,例如鍵盤記錄、螢幕捕獲、文件上傳/下載以及對受害者機器的遠端控制。威脅行為者透過添加與銀行詐欺相關的功能來增強惡意軟體,目標是墨西哥銀行和加密貨幣交易平台。這些新增功能包括啟動反向 shell、提取剪貼簿內容以及取得和執行其他有效負載的能力。
攻擊者在活動中使用墨西哥星鏈 IP 以及在修改後的 RAT 有效負載中包含西班牙語指令,證明了威脅行為者與拉丁美洲的連結。此外,所使用的誘餌是專門為規模足夠大、可以直接向墨西哥社會保障研究所(IMSS)部門報告的公司設計的。