Mexicaanse financiële instellingen staan onder de radar van een nieuwe spearphishing-campagne die een aangepaste versie levert van een open-source trojan voor externe toegang, genaamd AllaKore RAT.
Het BlackBerry Research and Intelligence Team schreef de activiteit toe aan een onbekende, in Latijns-Amerika gevestigde, financieel gemotiveerde dreigingsacteur. De campagne is in ieder geval sinds 2021 actief.
“Lures gebruiken naamgevingsschema’s van het Mexican Social Security Institute (IMSS) en links naar legitieme, goedaardige documenten tijdens het installatieproces”, aldus het Canadese bedrijf in een analyse die eerder deze week werd gepubliceerd.
“De AllaKore RAT-payload is sterk aangepast om de bedreigingsactoren in staat te stellen gestolen bankgegevens en unieke authenticatie-informatie terug te sturen naar een command-and-control (C2) server met het oog op financiële fraude.”
De aanvallen lijken vooral bedoeld te zijn om grote bedrijven met een bruto-omzet van meer dan $100 miljoen te targeten. Gerichte entiteiten omvatten de detailhandel, landbouw, publieke sector, productie, transport, commerciële dienstverlening, kapitaalgoederen en banksectoren.
De infectieketen begint met een ZIP-bestand dat wordt verspreid via phishing of een drive-by-compromis, dat een MSI-installatiebestand bevat dat een .NET-downloader dropt die verantwoordelijk is voor het bevestigen van de Mexicaanse geolocatie van het slachtoffer en het ophalen van de gewijzigde AllaKore RAT, een Delphi-bestand. -gebaseerde RAT voor het eerst waargenomen in 2015.
“AllaKore RAT, hoewel enigszins basaal, heeft de krachtige mogelijkheid om keylogs te maken, schermopnamen te maken, bestanden te uploaden/downloaden en zelfs de controle over de machine van het slachtoffer op afstand over te nemen”, aldus BlackBerry.
De nieuwe functies die door de bedreigingsacteur aan de malware zijn toegevoegd, omvatten ondersteuning voor opdrachten met betrekking tot bankfraude, het aanvallen van Mexicaanse banken en cryptohandelplatforms, het lanceren van een omgekeerde shell, het extraheren van klembordinhoud en het ophalen en uitvoeren van extra payloads.
De banden van de bedreigingsacteur met Latijns-Amerika komen voort uit het gebruik van Mexico Starlink IP’s die in de campagne zijn gebruikt, evenals de toevoeging van Spaanstalige instructies aan de gewijzigde RAT-payload. Bovendien werken de gebruikte kunstaas alleen voor bedrijven die groot genoeg zijn om rechtstreeks te rapporteren aan de afdeling van het Mexicaanse Sociale Zekerheidsinstituut (IMSS).
“Deze dreigingsactor heeft zich voortdurend op Mexicaanse entiteiten gericht met het oog op financieel gewin”, aldus het bedrijf. “Deze activiteit duurt al meer dan twee jaar en vertoont geen tekenen van stopzetting.”
De bevindingen komen nadat IOActive zei dat het drie kwetsbaarheden in de Lamassu Douro bitcoin-geldautomaten (CVE-2024-0175, CVE-2024-0176 en CVE-2024-0177) heeft geïdentificeerd, waardoor een aanvaller met fysieke toegang de volledige controle over de geldautomaten kan krijgen. apparaten en stelen gebruikersactiva.
De aanvallen worden mogelijk gemaakt door misbruik te maken van het software-updatemechanisme van de geldautomaat en het vermogen van het apparaat om QR-codes te lezen om hun eigen kwaadaardige bestand te leveren en de uitvoering van willekeurige code te activeren. De problemen werden in oktober 2023 door het Zwitserse bedrijf opgelost.
