AllaKore RAT retter sig mod mexicanske finansielle institutioner
En nylig spear-phishing-kampagne har sat mexicanske finansielle institutioner i sit trådkors og levere en modificeret version af AllaKore RAT, en open source-fjernadgang-trojaner. BlackBerry Research and Intelligence Team har sporet denne aktivitet til en uidentificeret økonomisk motiveret trusselsaktør baseret i Latinamerika, aktiv siden mindst 2021.
Kampagnen anvender lokker, der bruger Mexican Social Security Institute (IMSS) navnekonventioner og inkluderer links til tilsyneladende legitime dokumenter under installationsprocessen. Den modificerede AllaKore RAT-nyttelast gør det muligt for trusselsaktører at overføre stjålne bankoplysninger og unikke autentificeringsdetaljer til en kommando-og-kontrol-server (C2), hvilket letter økonomisk bedrageri.
Angrebene ser ud til at være skræddersyet til specifikt at målrette store virksomheder med en bruttoindtægt på over 100 millioner dollars på tværs af forskellige sektorer såsom detailhandel, landbrug, offentlig sektor, fremstilling, transport, kommercielle tjenester, kapitalgoder og bankvæsen.
AllaKore RAT infektionskæde
Infektionsprocessen starter med en ZIP-fil distribueret gennem enten phishing eller drive-by-kompromiser. Denne ZIP-fil indeholder en MSI-installationsfil, som implementerer en .NET-downloader, der er ansvarlig for at bekræfte ofrets mexicanske geolocation. Efterfølgende hentes den ændrede AllaKore RAT, en Delphi-baseret RAT, som oprindeligt blev identificeret i 2015.
Mens AllaKore RAT beskrives som noget grundlæggende, besidder den potente egenskaber såsom keylogging, skærmoptagelse, filupload/download og fjernstyring af ofrets maskine, ifølge BlackBerry. Trusselsaktøren har forbedret malwaren ved at tilføje funktionaliteter relateret til banksvindel, målrettet mod mexicanske banker og kryptohandelsplatforme. Disse tilføjelser inkluderer muligheden for at starte en omvendt shell, udtrække udklipsholderindhold og hente og udføre yderligere nyttelast.
Trusselsaktørens latinamerikanske forbindelse er bevist ved brugen af Mexico Starlink IP'er i kampagnen og medtagelsen af spansksprogede instruktioner i den modificerede RAT-nyttelast. Desuden er de anvendte lokker specielt designet til virksomheder af tilstrækkelig størrelse til at rapportere direkte til det mexicanske socialsikringsinstitut (IMSS) afdeling.