AllaKore RAT

Sukčiavimo kampanija nukreipta į Meksikos finansų institucijas, kuriose naudojamas modifikuotas AllaKore RAT variantas – atvirojo kodo nuotolinės prieigos Trojos arklys. Kampanija yra susijusi su nenustatytu finansiškai motyvuotu grėsmės veikėju, įsikūrusiu Lotynų Amerikoje. Ši grėsminga veikla tęsiasi mažiausiai nuo 2021 m. Sukčiavimo taktika apima su Meksikos socialinės apsaugos institutu (IMSS) susijusių pavadinimų suteikimo taisykles ir nuorodų į iš pažiūros teisėtus dokumentus teikimą diegimo etape. „AllaKore RAT“ naudingoji apkrova, naudojama atakos operacijoje, buvo iš esmės modifikuota, todėl grėsmės veikėjai galėjo perduoti suklastotus banko kredencialus ir unikalią autentifikavimo informaciją į komandų ir valdymo (C2) serverį, taip palengvinant finansinį sukčiavimą.

Kibernetiniai nusikaltėliai taikosi į dideles korporacijas su AllaKore RAT

Panašu, kad išpuoliai yra skirti didelėms korporacijoms, kurių metinės pajamos viršija 100 mln. Tiksliniai subjektai apima įvairius sektorius, įskaitant mažmeninę prekybą, žemės ūkį, viešąjį sektorių, gamybą, transportą, komercines paslaugas, gamybos priemones ir bankininkystę.

Infekcija įvyksta naudojant ZIP failą, platinamą sukčiavimo būdu arba per kompromisą. Šiame ZIP faile yra MSI diegimo programa, atsakinga už .NET atsisiuntimo programos diegimą. Pagrindinės atsisiuntimo programos užduotys apima aukos Meksikos geografinės vietos patvirtinimą ir modifikuoto AllaKore RAT gavimą. AllaKore RAT, iš pradžių 2015 m. identifikuotas kaip Delphi pagrįstas RAT, gali atrodyti šiek tiek paprastas, tačiau turi galingų funkcijų, tokių kaip klaviatūros registravimas, ekrano fiksavimas, failų įkėlimas / atsisiuntimas ir netgi paveiktos sistemos nuotolinis valdymas.

„AllaKore RAT“ buvo aprūpinta papildomomis grėsmingomis funkcijomis

Grėsmės veikėjas patobulino kenkėjišką programą naujomis funkcijomis, daugiausia orientuotomis į bankų sukčiavimą, ypač nukreiptą į Meksikos bankus ir kriptovaliutų prekybos platformas. Papildomos funkcijos apima galimybę inicijuoti komandas, skirtas paleisti atvirkštinį apvalkalą, ištraukti iškarpinės turinį ir gauti, taip pat vykdyti papildomus naudingus krovinius.

Grėsmės veikėjo ryšys su Lotynų Amerika akivaizdus kampanijoje naudojant Mexico Starlink IP. Be to, pakeista RAT naudingoji apkrova apima instrukcijas ispanų kalba. Pažymėtina, kad sukčiavimo masalai yra pritaikyti didelėms įmonėms, kurios tiesiogiai atsiskaito Meksikos socialinės apsaugos instituto (IMSS) skyriui.

Šis nuolatinis grėsmės veikėjas nuosekliai nukreipė savo pastangas į Meksikos subjektus, siekdamas finansinio išnaudojimo. Žalinga veikla tęsiasi daugiau nei dvejus metus ir nėra jokių nutraukimo požymių.

Grasinimai žiurkėms gali sukelti rimtų pasekmių aukoms

Nuotolinės prieigos Trojos arklys (RAT) kelia didelį pavojų, nes kenkėjams suteikia neteisėtą prieigą prie aukos kompiuterio ar tinklo ir jo valdymą. Štai keletas pagrindinių pavojų, susijusių su RAT grėsmėmis:

• Neteisėta prieiga ir valdymas : RAT leidžia užpuolikams nuotoliniu būdu valdyti pažeistą sistemą. Šis prieigos lygis leidžia jiems vykdyti komandas, manipuliuoti failais, įdiegti ir pašalinti programinę įrangą ir iš esmės valdyti aukos kompiuterį taip, lyg jis būtų fiziškai šalia.
• Duomenų vagystė ir šnipinėjimas : RAT dažniausiai naudojami privačiai informacijai, tokiai kaip prisijungimo duomenys, finansiniai duomenys, asmeninė informacija ir intelektinė nuosavybė, rinkti. Užpuolikai gali tyliai stebėti vartotojų veiklą, užfiksuoti klavišų paspaudimus ir pasiekti failus, todėl galimi duomenų pažeidimai ir įmonės šnipinėjimas.
• Stebėjimas ir privatumo pažeidimas : įdiegus RAT, užpuolikai gali suaktyvinti aukos internetinę kamerą ir mikrofoną be jų žinios, o tai gali sukelti neteisėtą stebėjimą. Šis privatumo pažeidimas gali turėti reikšmingų pasekmių asmenims ir organizacijoms.
• Paplitimas ir šoninis judėjimas : RAT dažnai turi galimybę savarankiškai daugintis ir plisti tinkle, todėl užpuolikai gali judėti į šoną per organizacijos infrastruktūrą. Tai gali sukelti kelių sistemų kompromisą ir bendros grėsmės saugumui eskalavimą.
• Finansiniai nuostoliai ir sukčiavimas : RAT, galintys apgauti bankinį sukčiavimą, gali nukreipti į finansų institucijas ir vartotojus, o tai gali sukelti neteisėtų operacijų, lėšų vagysčių ir kitų finansinių nuostolių. Kripto prekybos platformos taip pat yra pažeidžiami taikiniai užpuolikams, siekiantiems finansinės naudos.
• Paslaugų trikdymas : užpuolikai gali naudoti RAT, kad sutrikdytų paslaugas, keisdami arba ištrindami svarbius failus, keisdami sistemos konfigūracijas arba pradėdami paslaugų atsisakymo atakas. Tai gali sukelti prastovų, finansinių nuostolių ir pakenkti organizacijos reputacijai.
• Patvarumas ir aptikimo sunkumas : RAT yra sukurti taip, kad palaikytų patvarumą pažeistose sistemose, todėl jas aptikti ir pašalinti yra sudėtinga. Jie gali naudoti įvairius vengimo būdus, kad apeitų saugos priemones, todėl tradiciniams antivirusiniams sprendimams sunku nustatyti ir sumažinti grėsmę.
• Geopolitinis ir įmonių šnipinėjimas : valstybės remiami veikėjai ir įmonių šnipinėjimo grupės gali naudoti RAT strateginiais tikslais, kad gautų prieigą prie neskelbtinos informacijos, intelektinės nuosavybės ar įslaptintų duomenų. Tai gali turėti didelių rezultatų nacionaliniam saugumui ir paveiktoms organizacijoms.

Kad sumažintų riziką, susijusią su RAT grėsmėmis, organizacijos ir asmenys turėtų naudoti patikimas kibernetinio saugumo priemones, įskaitant reguliarius saugos auditus, tinklo stebėjimą, galinių taškų apsaugą ir naudotojų informuotumo mokymus, kad atpažintų ir išvengtų sukčiavimo atakų.