AllaKore RAT

Una campagna di spear-phishing sta prendendo di mira gli istituti finanziari messicani, utilizzando una variante modificata di AllaKore RAT, un trojan di accesso remoto open source. La campagna è collegata a un attore minaccioso non identificato con motivazioni finanziarie con sede in America Latina. Questa attività minacciosa è in corso almeno dal 2021. Le tattiche di phishing prevedono l'utilizzo di convenzioni di denominazione associate all'Istituto messicano di previdenza sociale (IMSS) e la fornitura di collegamenti a documenti apparentemente legittimi durante la fase di installazione. Il payload RAT AllaKore utilizzato nell'operazione di attacco ha subito modifiche sostanziali, consentendo agli autori delle minacce di trasmettere credenziali bancarie rubate e dettagli di autenticazione univoci a un server Command-and-Control (C2), facilitando le frodi finanziarie.

I criminali informatici prendono di mira le grandi aziende con AllaKore RAT

Gli attacchi sembrano concentrarsi specificamente sulle grandi aziende con ricavi annuali superiori a 100 milioni di dollari. Le entità prese di mira abbracciano vari settori, tra cui vendita al dettaglio, agricoltura, settore pubblico, produzione, trasporti, servizi commerciali, beni strumentali e bancario.

L'infezione avviene con un file ZIP distribuito tramite phishing o compromissione drive-by. Questo file ZIP contiene un programma di installazione MSI responsabile della distribuzione di un downloader .NET. I compiti principali del downloader includono la conferma della geolocalizzazione messicana della vittima e il recupero del AllaKore RAT modificato. AllaKore RAT, inizialmente identificato nel 2015 come RAT basato su Delphi, può sembrare piuttosto semplice ma possiede potenti funzionalità come keylogging, acquisizione di schermate, caricamento/download di file e persino controllo remoto del sistema interessato.

L'AllaKore RAT è stato dotato di ulteriori caratteristiche minacciose

L'autore della minaccia ha potenziato il malware con nuove funzionalità incentrate principalmente sulle frodi bancarie, prendendo di mira in particolare le banche messicane e le piattaforme di trading di criptovalute. Le funzionalità aggiunte includono la possibilità di avviare comandi per avviare una shell inversa, estrarre il contenuto degli appunti e recuperare, nonché eseguire carichi utili aggiuntivi.

Il legame dell'autore della minaccia con l'America Latina è evidente attraverso l'utilizzo degli IP Starlink messicani nella campagna. Inoltre, il payload RAT modificato include istruzioni in lingua spagnola. In particolare, le esche di phishing sono mirate ad aziende di dimensioni significative che fanno capo direttamente al dipartimento dell’Istituto messicano di previdenza sociale (IMSS).

Questo persistente attore di minacce ha costantemente indirizzato i suoi sforzi verso entità messicane con l’intento di sfruttamento finanziario. L'attività dannosa dura da più di due anni, senza mostrare segni di cessazione.

Le minacce RAT possono portare a gravi conseguenze per le vittime

I Trojan di accesso remoto (RAT) rappresentano pericoli significativi poiché forniscono accesso e controllo non autorizzati sul computer o sulla rete di una vittima ad attori malintenzionati. Ecco alcuni dei principali pericoli associati alle minacce RAT:

• Accesso e controllo non autorizzati : i RAT consentono agli aggressori di ottenere il controllo remoto di un sistema compromesso. Questo livello di accesso consente loro di eseguire comandi, manipolare file, installare e disinstallare software e sostanzialmente controllare il computer della vittima come se fosse fisicamente presente.
• Furto di dati e spionaggio : i RAT sono comunemente utilizzati per raccogliere informazioni private, come credenziali di accesso, dati finanziari, informazioni personali e proprietà intellettuale. Gli aggressori possono monitorare silenziosamente le attività degli utenti, acquisire le sequenze di tasti e accedere ai file, portando a potenziali violazioni dei dati e spionaggio aziendale.
• Sorveglianza e invasione della privacy : una volta schierato un RAT, gli aggressori possono attivare la webcam e il microfono della vittima a loro insaputa, portando a una sorveglianza non autorizzata. Questa violazione della privacy può avere conseguenze significative per individui e organizzazioni.
• Propagazione e movimento laterale : i RAT hanno spesso la capacità di auto-replicarsi e diffondersi all'interno di una rete, consentendo agli aggressori di spostarsi lateralmente attraverso l'infrastruttura di un'organizzazione. Ciò può comportare la compromissione di più sistemi e l’intensificazione della minaccia alla sicurezza complessiva.
• Perdite finanziarie e frodi : i RAT con capacità di frode bancaria possono prendere di mira istituti e utenti finanziari, portando a transazioni non autorizzate, furto di fondi e altre perdite finanziarie. Anche le piattaforme di trading di criptovalute sono obiettivi vulnerabili per gli aggressori in cerca di guadagni finanziari.
• Interruzione dei servizi : gli aggressori possono utilizzare i RAT per interrompere i servizi modificando o eliminando file critici, alterando le configurazioni del sistema o lanciando attacchi denial-of-service. Ciò può portare a tempi di inattività, perdite finanziarie e danni alla reputazione di un'organizzazione.
• Persistenza e difficoltà di rilevamento : i RAT sono progettati per mantenere la persistenza sui sistemi compromessi, rendendoli difficili da rilevare e rimuovere. Possono utilizzare varie tecniche di evasione per aggirare le misure di sicurezza, rendendo difficile per le soluzioni antivirus tradizionali identificare e mitigare la minaccia.
• Spionaggio geopolitico e aziendale : attori sponsorizzati dallo Stato e gruppi di spionaggio aziendale possono utilizzare i RAT per scopi strategici per ottenere l'accesso a informazioni sensibili, proprietà intellettuale o dati classificati. Ciò può avere risultati di vasta portata per la sicurezza nazionale e le organizzazioni colpite.

Per mitigare i rischi associati alle minacce RAT, le organizzazioni e gli individui dovrebbero adottare solide misure di sicurezza informatica, inclusi controlli di sicurezza regolari, monitoraggio della rete, protezione degli endpoint e formazione sulla consapevolezza degli utenti per riconoscere ed evitare attacchi di phishing.