AllaKore RAT

Una campanya de spear-phishing està dirigida a les institucions financeres mexicanes, utilitzant una variant modificada de l'AllaKore RAT, un troià d'accés remot de codi obert. La campanya està vinculada a un actor d'amenaça no identificat amb motivació financera amb seu a Amèrica Llatina. Aquesta activitat amenaçadora ha estat en curs almenys des de l'any 2021. Les tàctiques de pesca consisteixen en utilitzar convencions de denominació associades a l'Institut Mexicà de la Seguretat Social (IMSS) i proporcionar enllaços a documents aparentment legítims durant la fase d'instal·lació. La càrrega útil AllaKore RAT utilitzada en l'operació d'atac ha sofert modificacions substancials, la qual cosa permet als actors de l'amenaça transmetre credencials bancàries robades i detalls d'autenticació únics a un servidor de comandament i control (C2), facilitant el frau financer.

Els ciberdelinqüents es dirigeixen a grans corporacions amb AllaKore RAT

Els atacs semblen centrar-se específicament en grans corporacions amb ingressos anuals superiors als 100 milions de dòlars. Les entitats objectiu abasten diversos sectors, com ara el comerç al detall, l'agricultura, el sector públic, la indústria manufacturera, el transport, els serveis comercials, els béns d'equip i la banca.

La infecció es produeix amb un fitxer ZIP distribuït mitjançant phishing o un compromís de drive-by. Aquest fitxer ZIP conté un instal·lador MSI responsable de desplegar un descarregador .NET. Les tasques principals del descarregador inclouen confirmar la geolocalització mexicana de la víctima i obtenir l'AllaKore RAT modificat. L'AllaKore RAT, identificat inicialment el 2015 com a RAT basat en Delphi, pot semblar una mica bàsic, però posseeix potents capacitats com ara el registre de tecles, la captura de pantalla, la càrrega/descàrrega de fitxers i fins i tot el control remot del sistema afectat.

L'AllaKore RAT ha estat equipat amb funcions addicionals amenaçadores

L'actor de l'amenaça ha millorat el programari maliciós amb noves funcionalitats centrades principalment en el frau bancari, dirigides específicament als bancs mexicans i a les plataformes de comerç de criptografia. Les funcions afegides inclouen la possibilitat d'iniciar ordres per llançar un intèrpret d'ordres invers, extreure contingut del porta-retalls i obtenir, així com executar càrregues útils addicionals.

La connexió de l'actor d'amenaça amb Amèrica Llatina és evident gràcies a la utilització de les IP de Starlink de Mèxic a la campanya. A més, la càrrega útil RAT modificada inclou instruccions en castellà. En particular, els esquers de pesca s'adapten a empreses de mida important que depenen directament del departament de l'Institut Mexicà de la Seguretat Social (IMSS).

Aquest persistent actor d'amenaça ha estat constantment dirigint els seus esforços cap a entitats mexicanes amb la intenció d'explotació financera. L'activitat nociva ha perdurat durant més de dos anys, sense mostrar indicis de cessament.

Les amenaces de RAT poden tenir conseqüències greus per a les víctimes

Els troians d'accés remot (RAT) representen perills importants, ja que proporcionen accés no autoritzat i control sobre l'ordinador o la xarxa d'una víctima a actors maliciosos. Aquests són alguns dels perills clau associats a les amenaces RAT:

• Accés i control no autoritzats : les RAT permeten als atacants obtenir el control remot d'un sistema compromès. Aquest nivell d'accés els permet executar ordres, manipular fitxers, instal·lar i desinstal·lar programari i, bàsicament, controlar l'ordinador de la víctima com si estigués físicament present.
• Robatori de dades i espionatge : les RAT s'utilitzen habitualment per recopilar informació privada, com ara credencials d'inici de sessió, dades financeres, informació personal i propietat intel·lectual. Els atacants poden controlar silenciosament les activitats dels usuaris, capturar les pulsacions de tecles i accedir a fitxers, provocant possibles violacions de dades i espionatge corporatiu.
• Vigilància i invasió de privadesa : un cop s'ha desplegat una RAT, els atacants poden activar la càmera web i el micròfon de la víctima sense que ho sàpiguen, provocant una vigilància no autoritzada. Aquesta violació de la privadesa pot tenir conseqüències significatives per a persones i organitzacions.
• Propagació i moviment lateral : les RAT sovint tenen la capacitat d'autoreplicar-se i estendre's dins d'una xarxa, permetent als atacants moure's lateralment per la infraestructura d'una organització. Això pot provocar el compromís de múltiples sistemes i l'escalada de l'amenaça de seguretat global.
• Pèrdues financeres i frau : les RAT amb capacitats per al frau bancari poden orientar-se a les institucions financeres i als usuaris, provocant transaccions no autoritzades, robatori de fons i altres pèrdues financeres. Les plataformes de comerç de criptografia també són objectius vulnerables per als atacants que busquen guanys financers.
• Interrupció dels serveis : els atacants poden utilitzar RAT per interrompre els serveis modificant o suprimint fitxers crítics, alterant les configuracions del sistema o llançant atacs de denegació de servei. Això pot provocar temps d'inactivitat, pèrdues financeres i danys a la reputació d'una organització.
• Persistència i dificultat de detecció : els RAT estan dissenyats per mantenir la persistència en sistemes compromesos, cosa que els fa difícils de detectar i eliminar. Poden utilitzar diverses tècniques d'evasió per evitar les mesures de seguretat, cosa que dificulta que les solucions antivirus tradicionals identifiquin i mitiguin l'amenaça.
• Espionatge geopolític i corporatiu : els actors patrocinats per l'estat i els grups d'espionatge corporatiu poden utilitzar RAT amb finalitats estratègiques per obtenir accés a informació sensible, propietat intel·lectual o dades classificades. Això pot tenir resultats de gran abast per a la seguretat nacional i les organitzacions afectades.

Per mitigar els riscos associats a les amenaces RAT, les organitzacions i els individus haurien d'emprar mesures sòlides de ciberseguretat, incloses auditories de seguretat periòdiques, monitorització de xarxes, protecció de punts finals i formació en consciència dels usuaris per reconèixer i evitar atacs de pesca.