AllaKore RAT retter seg mot meksikanske finansinstitusjoner
En nylig spyd-phishing-kampanje har satt meksikanske finansinstitusjoner i trådkorset, og har levert en modifisert versjon av AllaKore RAT, en åpen kildekode-trojaner for fjerntilgang. BlackBerry Research and Intelligence Team har sporet denne aktiviteten til en uidentifisert økonomisk motivert trusselaktør basert i Latin-Amerika, aktiv siden minst 2021.
Kampanjen bruker sluk som benytter navnekonvensjonene fra det mexicanske sosialsikkerhetsinstituttet (IMSS), og inkluderer lenker til tilsynelatende legitime dokumenter under installasjonsprosessen. Den modifiserte AllaKore RAT-nyttelasten gjør det mulig for trusselaktører å overføre stjålne banklegitimasjoner og unike autentiseringsdetaljer til en kommando-og-kontroll-server (C2), noe som letter økonomisk svindel.
Angrepene ser ut til å være skreddersydd for spesifikt å målrette store selskaper med bruttoinntekter på over 100 millioner dollar på tvers av ulike sektorer som detaljhandel, landbruk, offentlig sektor, produksjon, transport, kommersielle tjenester, kapitalvarer og bank.
AllaKore RAT Infeksjonskjede
Infeksjonsprosessen starter med en ZIP-fil distribuert gjennom enten phishing eller drive-by-kompromisser. Denne ZIP-filen inneholder en MSI-installasjonsfil, som distribuerer en .NET-nedlaster som er ansvarlig for å bekrefte offerets meksikanske geolokalisering. Deretter hentes den endrede AllaKore RAT, en Delphi-basert RAT som opprinnelig ble identifisert i 2015.
Mens AllaKore RAT beskrives som noe grunnleggende, har den potente funksjoner som tastelogging, skjermfangst, filopplasting/nedlasting og fjernkontroll av offerets maskin, ifølge BlackBerry. Trusselaktøren har forbedret skadevaren ved å legge til funksjonalitet relatert til banksvindel, målrettet mot meksikanske banker og kryptohandelsplattformer. Disse tilleggene inkluderer muligheten til å starte et omvendt skall, trekke ut innhold fra utklippstavlen og hente og utføre ytterligere nyttelast.
Den latinamerikanske forbindelsen til trusselaktøren er bevist ved bruken av Mexico Starlink IP-er i kampanjen og inkluderingen av spanskspråklige instruksjoner i den modifiserte RAT-nyttelasten. Dessuten er lokkene som brukes spesifikt designet for selskaper av tilstrekkelig størrelse til å rapportere direkte til avdelingen for Meksikansk Social Security Institute (IMSS).
