AllaKore RAT атакует мексиканские финансовые учреждения
Недавняя целевая фишинговая кампания поставила под прицел мексиканские финансовые учреждения, предоставив модифицированную версию AllaKore RAT, трояна удаленного доступа с открытым исходным кодом. Исследовательская и разведывательная группа BlackBerry установила, что эту деятельность совершил неизвестный финансово мотивированный злоумышленник, базирующийся в Латинской Америке и действующий как минимум с 2021 года.
В кампании используются приманки, основанные на соглашениях об именах Мексиканского института социального обеспечения (IMSS), и в процессе установки включаются ссылки на, казалось бы, законные документы. Модифицированная полезная нагрузка AllaKore RAT позволяет злоумышленникам передавать украденные банковские учетные данные и уникальные данные аутентификации на сервер управления и контроля (C2), облегчая финансовое мошенничество.
Похоже, что атаки специально нацелены на крупные компании с валовым доходом, превышающим 100 миллионов долларов США, в различных секторах, таких как розничная торговля, сельское хозяйство, государственный сектор, производство, транспорт, коммерческие услуги, средства производства и банковское дело.
Цепочка заражения крыс АллаКоре
Процесс заражения начинается с ZIP-файла, распространяемого посредством фишинга или взлома. Этот ZIP-файл содержит файл установщика MSI, который развертывает загрузчик .NET, отвечающий за подтверждение геолокации жертвы в Мексике. Впоследствии извлекается измененная RAT AllaKore RAT на базе Delphi, первоначально идентифицированная в 2015 году.
По словам BlackBerry, хотя AllaKore RAT описывается как довольно простой, он обладает мощными возможностями, такими как ведение журнала клавиатуры, захват экрана, загрузка/загрузка файлов и удаленное управление компьютером жертвы. Злоумышленник усовершенствовал вредоносное ПО, добавив функции, связанные с банковским мошенничеством, нацеленные на мексиканские банки и платформы криптовалютной торговли. Эти дополнения включают возможность запуска обратной оболочки, извлечения содержимого буфера обмена, а также выборки и выполнения дополнительных полезных данных.
О латиноамериканских связях злоумышленника свидетельствует использование мексиканских IP-адресов Starlink в кампании и включение инструкций на испанском языке в модифицированную полезную нагрузку RAT. Более того, используемые приманки специально разработаны для компаний достаточного размера, чтобы напрямую подчиняться отделу Мексиканского института социального обеспечения (IMSS).