AllaKore RAT

Кампания за фишинг е насочена към мексикански финансови институции, използвайки модифициран вариант на AllaKore RAT, троянски кон с отворен код за отдалечен достъп. Кампанията е свързана с неидентифицирана финансово мотивирана заплаха, базирана в Латинска Америка. Тази заплашителна дейност продължава поне от 2021 г. Фишинг тактиката включва използване на конвенции за именуване, свързани с Мексиканския институт за социално осигуряване (IMSS) и предоставяне на връзки към привидно легитимни документи по време на фазата на инсталиране. Полезният товар на AllaKore RAT, използван в операцията за атака, е претърпял значителни модификации, позволявайки на участниците в заплахата да предават откраднати банкови идентификационни данни и уникални данни за удостоверяване на сървър за командване и контрол (C2), улеснявайки финансови измами.

Киберпрестъпниците се насочват към големи корпорации с AllaKore RAT

Атаките изглежда са насочени конкретно към големи корпорации с годишни приходи над 100 милиона долара. Целевите субекти обхващат различни сектори, включително търговия на дребно, селско стопанство, публичен сектор, производство, транспорт, търговски услуги, капиталови стоки и банкиране.

Инфекцията възниква с ZIP файл, разпространяван чрез фишинг или компрометиране от устройство. Този ZIP файл съдържа MSI инсталатор, отговорен за внедряването на .NET програма за изтегляне. Основните задачи на програмата за изтегляне включват потвърждаване на мексиканското геолокация на жертвата и извличане на модифицирания AllaKore RAT. AllaKore RAT, първоначално идентифициран през 2015 г. като базиран на Delphi RAT, може да изглежда донякъде елементарен, но притежава мощни възможности като keylogging, заснемане на екрана, качване/изтегляне на файлове и дори дистанционно управление на засегнатата система.

AllaKore RAT е оборудван с допълнителни заплашителни функции

Актьорът на заплахата е подобрил злонамерения софтуер с нови функционалности, фокусирани предимно върху банкови измами, специално насочени към мексикански банки и платформи за крипто търговия. Добавените функции включват способността да се инициират команди за стартиране на обратна обвивка, извличане на съдържание от клипборда и извличане, както и изпълнение на допълнителни полезни натоварвания.

Връзката на заплахата с Латинска Америка е очевидна чрез използването на Мексико Starlink IP в кампанията. Освен това модифицираният полезен товар на RAT включва инструкции на испански език. Трябва да се отбележи, че примамките за фишинг са пригодени за компании със значителен размер, които се отчитат директно на отдела на Мексиканския институт за социално осигуряване (IMSS).

Този постоянен актьор на заплаха последователно насочва усилията си към мексикански субекти с намерение за финансова експлоатация. Вредната дейност е продължила повече от две години, без да показва индикации за прекратяване.

Заплахите от плъхове могат да доведат до тежки последици за жертвите

Троянските коне за отдалечен достъп (RAT) представляват значителни опасности, тъй като предоставят неоторизиран достъп и контрол върху компютъра или мрежата на жертвата на злонамерени участници. Ето някои основни опасности, свързани с RAT заплахите:

• Неоторизиран достъп и контрол : RAT позволяват на нападателите да получат дистанционно управление на компрометирана система. Това ниво на достъп им позволява да изпълняват команди, да манипулират файлове, да инсталират и деинсталират софтуер и по същество да контролират компютъра на жертвата, сякаш присъстват физически.
• Кражба на данни и шпионаж : RAT обикновено се използват за събиране на лична информация, като идентификационни данни за вход, финансови данни, лична информация и интелектуална собственост. Нападателите могат безшумно да наблюдават дейностите на потребителите, да улавят натискания на клавиши и да имат достъп до файлове, което води до потенциални пробиви на данни и корпоративен шпионаж.
• Наблюдение и нарушаване на поверителността : След като RAT бъде разгърнат, нападателите могат да активират уеб камерата и микрофона на жертвата без тяхно знание, което води до неразрешено наблюдение. Това нарушаване на поверителността може да има значими последици за отделни лица и организации.
• Разпространение и странично движение : RATs често имат способността да се самовъзпроизвеждат и разпространяват в мрежата, позволявайки на нападателите да се движат странично през инфраструктурата на организацията. Това може да доведе до компрометиране на множество системи и ескалация на цялостната заплаха за сигурността.
• Финансови загуби и измами : RATs с възможности за банкови измами могат да се насочат към финансови институции и потребители, което води до неразрешени транзакции, кражба на средства и други финансови загуби. Платформите за крипто търговия също са уязвими цели за нападателите, търсещи финансови печалби.
• Прекъсване на услугите : Нападателите могат да използват RAT, за да нарушат услугите чрез модифициране или изтриване на критични файлове, промяна на системните конфигурации или стартиране на атаки за отказ на услуга. Това може да доведе до прекъсване, финансови загуби и увреждане на репутацията на организацията.
• Устойчивост и трудности на откриване : RATs са проектирани да поддържат устойчивост на компрометирани системи, което ги прави предизвикателство за откриване и премахване. Те могат да използват различни техники за избягване, за да заобиколят мерките за сигурност, което затруднява традиционните антивирусни решения да идентифицират и смекчат заплахата.
• Геополитически и корпоративен шпионаж : Спонсорирани от държавата участници и групи за корпоративни шпионаж могат да използват RATs за стратегически цели, за да получат достъп до чувствителна информация, интелектуална собственост или класифицирани данни. Това може да има далечни резултати за националната сигурност и засегнатите организации.

За да намалят рисковете, свързани с RAT заплахите, организациите и отделните лица трябва да използват стабилни мерки за киберсигурност, включително редовни одити на сигурността, наблюдение на мрежата, защита на крайната точка и обучение за информираност на потребителите за разпознаване и избягване на фишинг атаки.