AllaKore RAT
Uma campanha de spear-phishing tem como alvo instituições financeiras mexicanas, empregando uma variante modificada do AllaKore RAT, um Trojan de acesso remoto de código aberto. A campanha está ligada a um ator de ameaça não identificado com motivação financeira baseado na América Latina. Esta atividade ameaçadora está em curso pelo menos desde 2021. As táticas de phishing envolvem a utilização de convenções de nomenclatura associadas ao Instituto Mexicano de Segurança Social (IMSS) e o fornecimento de links para documentos aparentemente legítimos durante a fase de instalação. A carga útil AllaKore RAT usada na operação de ataque passou por modificações substanciais, permitindo que os agentes da ameaça transmitissem credenciais bancárias furtadas e detalhes de autenticação exclusivos para um servidor de Comando e Controle (C2), facilitando a fraude financeira.
Índice
Os Cibercriminosos Visam Grandes Corporações com o AllaKore RAT
Os ataques parecem concentrar-se especificamente em grandes corporações com receitas anuais superiores a 100 milhões de dólares. As entidades visadas abrangem vários sectores, incluindo retalho, agricultura, sector público, indústria transformadora, transportes, serviços comerciais, bens de capital e banca.
A infecção ocorre com um arquivo ZIP distribuído por meio de phishing ou comprometimento drive-by. Este arquivo ZIP contém um instalador MSI responsável por implantar um downloader .NET. As principais tarefas do downloader incluem confirmar a geolocalização mexicana da vítima e buscar o AllaKore RAT modificado. O AllaKore RAT, inicialmente identificado em 2015 como um RAT baseado em Delphi, pode parecer um tanto básico, mas possui recursos potentes, como keylogging, captura de tela, upload/download de arquivos e até mesmo controle remoto do sistema afetado.
O AllaKore RAT foi Equipado com Recursos Adicionais Ameaçadores
O ator da ameaça aprimorou o malware com novas funcionalidades focadas principalmente em fraudes bancárias, visando especificamente bancos mexicanos e plataformas de negociação de criptografia. Os recursos adicionais incluem a capacidade de iniciar comandos para iniciar um shell reverso, extrair conteúdo da área de transferência e buscar, bem como executar cargas adicionais.
A conexão do ator da ameaça com a América Latina é evidente através da utilização de IPs Starlink do México na campanha. Além disso, a carga útil do RAT modificada inclui instruções em espanhol. Notavelmente, as iscas de phishing são adaptadas a empresas de tamanho significativo que se reportam diretamente ao departamento do Instituto Mexicano de Segurança Social (IMSS).
Este ator de ameaça persistente tem direcionado consistentemente os seus esforços para entidades mexicanas com a intenção de exploração financeira. A atividade prejudicial perdura há mais de dois anos, sem apresentar indícios de cessação.
As Ameaças de RATs podem Levar a Consequências Graves para as Vítimas
Os Trojans de acesso remoto (RATs) representam perigos significativos, pois fornecem acesso não autorizado e controle sobre o computador ou rede da vítima para agentes mal-intencionados. Aqui estão alguns perigos principais associados às ameaças RAT:
- Acesso e controle não autorizados : Os RATs permitem que invasores obtenham controle remoto de um sistema comprometido. Este nível de acesso permite-lhes executar comandos, manipular ficheiros, instalar e desinstalar software e, essencialmente, controlar o computador da vítima como se estivesse fisicamente presente.
- Roubo de dados e espionagem : RATs são comumente utilizados para coletar informações privadas, como credenciais de login, dados financeiros, informações pessoais e propriedade intelectual. Os invasores podem monitorar silenciosamente as atividades dos usuários, capturar as teclas digitadas e acessar arquivos, levando a possíveis violações de dados e espionagem corporativa.
- Vigilância e invasão de privacidade : Depois que um RAT é implantado, os invasores podem ativar a webcam e o microfone da vítima sem o seu conhecimento, levando à vigilância não autorizada. Esta violação da privacidade pode ter consequências significativas para indivíduos e organizações.
- Propagação e movimento lateral : Os RATs geralmente têm a capacidade de se auto-replicar e se espalhar dentro de uma rede, permitindo que os invasores se movam lateralmente pela infraestrutura de uma organização. Isso pode resultar no comprometimento de vários sistemas e no aumento da ameaça geral à segurança.
- Perdas financeiras e fraude : RATs com capacidade para fraude bancária podem ter como alvo instituições financeiras e usuários, levando a transações não autorizadas, roubo de fundos e outras perdas financeiras. As plataformas de negociação criptográfica também são alvos vulneráveis para invasores que buscam ganhos financeiros.
- Interrupção de serviços : Os invasores podem usar RATs para interromper serviços, modificando ou excluindo arquivos críticos, alterando configurações do sistema ou lançando ataques de negação de serviço. Isso pode levar a períodos de inatividade, perdas financeiras e danos à reputação de uma organização.
- Persistência e dificuldade de detecção : Os RATs são projetados para manter a persistência em sistemas comprometidos, tornando-os difíceis de detectar e remover. Eles podem usar diversas técnicas de evasão para contornar as medidas de segurança, dificultando que as soluções antivírus tradicionais identifiquem e mitiguem a ameaça.
- Espionagem geopolítica e corporativa : Autores patrocinados pelo Estado e grupos de espionagem corporativa podem usar RATs para fins estratégicos para obter acesso a informações confidenciais, propriedade intelectual ou dados confidenciais. Isto pode ter resultados de longo alcance para a segurança nacional e para as organizações afetadas.
Para mitigar os riscos associados às ameaças de RATs, as organizações e os indivíduos devem empregar medidas robustas de segurança cibernética, incluindo auditorias regulares de segurança, monitorização de rede, proteção de terminais e formação de sensibilização dos utilizadores para reconhecer e evitar ataques de phishing.
