AllaKore RAT

O campanie de spear-phishing vizează instituțiile financiare mexicane, utilizând o variantă modificată a AllaKore RAT, un troian open-source pentru acces la distanță. Campania este legată de un actor de amenințare neidentificat, motivat financiar, cu sediul în America Latină. Această activitate amenințătoare este în desfășurare cel puțin din 2021. Tacticile de phishing implică utilizarea convențiilor de denumire asociate cu Institutul Mexican de Securitate Socială (IMSS) și furnizarea de link-uri către documente aparent legitime în timpul fazei de instalare. Sarcina utilă AllaKore RAT utilizată în operațiunea de atac a suferit modificări substanțiale, permițând actorilor amenințărilor să transmită acreditări bancare furate și detalii unice de autentificare către un server Command-and-Control (C2), facilitând frauda financiară.

Criminalii cibernetici vizează marile corporații cu AllaKore RAT

Atacurile par să se concentreze în mod special asupra corporațiilor mari cu venituri anuale care depășesc 100 de milioane de dolari. Entitățile vizate acoperă diverse sectoare, inclusiv retail, agricultură, sectorul public, producție, transport, servicii comerciale, bunuri de capital și bancar.

Infecția are loc cu un fișier ZIP distribuit prin phishing sau prin compromis. Acest fișier ZIP conține un program de instalare MSI responsabil pentru implementarea unui program de descărcare .NET. Sarcinile principale ale descărcatorului includ confirmarea geolocalizării mexicane a victimei și preluarea AllaKore RAT modificată. AllaKore RAT, identificat inițial în 2015 ca un RAT bazat pe Delphi, poate părea oarecum de bază, dar posedă capabilități puternice, cum ar fi înregistrarea tastelor, capturarea ecranului, încărcarea/descărcarea fișierelor și chiar controlul de la distanță al sistemului afectat.

AllaKore RAT a fost echipat cu caracteristici suplimentare amenințătoare

Actorul amenințării a îmbunătățit malware-ul cu noi funcționalități axate în principal pe frauda bancară, vizând în special băncile mexicane și platformele de tranzacționare cripto. Caracteristicile adăugate includ capacitatea de a iniția comenzi pentru lansarea unui shell invers, extragerea conținutului clipboard-ului și preluarea, precum și pentru executarea încărcărilor utile suplimentare.

Legătura actorului amenințării cu America Latină este evidentă prin utilizarea IP-urilor Starlink din Mexic în campanie. În plus, sarcina utilă RAT modificată include instrucțiuni în limba spaniolă. În special, momelile pentru phishing sunt adaptate companiilor de dimensiuni semnificative care raportează direct departamentului Institutului Mexican de Securitate Socială (IMSS).

Acest actor persistent de amenințare și-a îndreptat în mod constant eforturile către entitățile mexicane cu intenția de exploatare financiară. Activitatea dăunătoare durează de mai bine de doi ani, nefiind indicii de încetare.

Amenințările RAT pot duce la consecințe grave pentru victime

Troienii de acces la distanță (RAT) prezintă pericole semnificative, deoarece oferă acces neautorizat și control asupra computerului sau rețelei unei victime actorilor rău intenționați. Iată câteva pericole cheie asociate cu amenințările RAT:

• Acces și control neautorizat : RAT-urile permit atacatorilor să obțină controlul de la distanță al unui sistem compromis. Acest nivel de acces le permite să execute comenzi, să manipuleze fișiere, să instaleze și să dezinstaleze software și, în esență, să controleze computerul victimei ca și cum ar fi prezent fizic.
• Furtul de date și spionajul : RAT-urile sunt utilizate în mod obișnuit pentru a colecta informații private, cum ar fi acreditările de conectare, date financiare, informații personale și proprietate intelectuală. Atacatorii pot monitoriza în tăcere activitățile utilizatorilor, pot captura apăsările de taste și pot accesa fișiere, ceea ce duce la posibile încălcări ale datelor și spionaj corporativ.
• Supraveghere și invadare a confidențialității : Odată ce un RAT este implementat, atacatorii pot activa camera web și microfonul victimei fără știrea lor, ceea ce duce la supraveghere neautorizată. Această încălcare a confidențialității poate avea consecințe semnificative pentru indivizi și organizații.
• Propagare și mișcare laterală : RAT-urile au adesea capacitatea de a se auto-replica și de a se răspândi în cadrul unei rețele, permițând atacatorilor să se deplaseze lateral prin infrastructura unei organizații. Acest lucru poate duce la compromisul mai multor sisteme și la escaladarea amenințării generale de securitate.
• Pierderi financiare și fraude : RAT-urile cu capabilități de fraudă bancară pot viza instituțiile financiare și utilizatorii, ceea ce duce la tranzacții neautorizate, furt de fonduri și alte pierderi financiare. Platformele de tranzacționare criptografică sunt, de asemenea, ținte vulnerabile pentru atacatorii care caută câștiguri financiare.
• Întreruperea serviciilor : Atacatorii pot folosi RAT-uri pentru a perturba serviciile prin modificarea sau ștergerea fișierelor critice, modificarea configurațiilor sistemului sau lansarea de atacuri de refuzare a serviciului. Acest lucru poate duce la perioade de nefuncționare, pierderi financiare și deteriorarea reputației unei organizații.
• Persistența și dificultatea detectării : RAT-urile sunt concepute pentru a menține persistența pe sistemele compromise, făcându-le dificil de detectat și îndepărtat. Aceștia pot utiliza diverse tehnici de evaziune pentru a ocoli măsurile de securitate, ceea ce face dificilă identificarea și atenuarea amenințării soluțiilor antivirus tradiționale.
• Spionaj geopolitic și corporativ : actorii sponsorizați de stat și grupurile corporative de spionaj pot folosi RAT-urile în scopuri strategice pentru a obține acces la informații sensibile, proprietate intelectuală sau date clasificate. Acest lucru poate avea rezultate de anvergură pentru securitatea națională și organizațiile afectate.

Pentru a atenua riscurile asociate cu amenințările RAT, organizațiile și persoanele ar trebui să utilizeze măsuri solide de securitate cibernetică, inclusiv audituri regulate de securitate, monitorizarea rețelei, protecția punctelor terminale și instruirea utilizatorilor pentru a recunoaște și a evita atacurile de tip phishing.