АллаКоре КРЫСА

Целевая фишинговая кампания направлена против мексиканских финансовых учреждений и использует модифицированный вариант AllaKore RAT, трояна удаленного доступа с открытым исходным кодом. Кампания связана с неизвестным финансово мотивированным злоумышленником, базирующимся в Латинской Америке. Эта угрожающая деятельность продолжается по крайней мере с 2021 года. Тактика фишинга предполагает использование соглашений об именах, связанных с Мексиканским институтом социального обеспечения (IMSS), и предоставление ссылок на, казалось бы, законные документы на этапе установки. Полезная нагрузка AllaKore RAT, использованная в операции атаки, претерпела существенные изменения, что позволяет злоумышленникам передавать украденные банковские учетные данные и уникальные данные аутентификации на сервер управления и контроля (C2), что облегчает финансовое мошенничество.

Киберпреступники атакуют крупные корпорации с помощью RAT AllaKore

Похоже, что атаки конкретно направлены на крупные корпорации с годовым доходом, превышающим 100 миллионов долларов. Объекты нападения охватывают различные сектора, включая розничную торговлю, сельское хозяйство, государственный сектор, производство, транспорт, коммерческие услуги, средства производства и банковское дело.

Заражение происходит с помощью ZIP-файла, распространяемого посредством фишинга или компрометации диска. Этот ZIP-файл содержит установщик MSI, отвечающий за развертывание загрузчика .NET. В основные задачи загрузчика входит подтверждение геолокации жертвы в Мексике и получение модифицированной RAT AllaKore. AllaKore RAT, первоначально идентифицированная в 2015 году как RAT на базе Delphi, может показаться несколько простой, но обладает мощными возможностями, такими как ведение журнала клавиатуры, захват экрана, загрузка/загрузка файлов и даже удаленное управление уязвимой системой.

Крысу «АллаКоре» оснастили дополнительными угрожающими функциями

Злоумышленник расширил вредоносное ПО новыми функциями, в первую очередь ориентированными на банковское мошенничество, в частности, нацеленными на мексиканские банки и криптовалютные торговые платформы. Добавленные функции включают в себя возможность инициировать команды для запуска обратной оболочки, извлечения и выборки содержимого буфера обмена, а также выполнения дополнительных полезных нагрузок.

Связь злоумышленника с Латинской Америкой очевидна благодаря использованию в кампании IP-адресов Starlink Мексики. Кроме того, модифицированная полезная нагрузка RAT включает инструкции на испанском языке. Примечательно, что фишинговые приманки предназначены для компаний значительного размера, которые напрямую подчиняются отделу Мексиканского института социального обеспечения (IMSS).

Этот постоянный субъект угроз последовательно направляет свои усилия на мексиканские организации с целью финансовой эксплуатации. Вредная деятельность продолжается уже более двух лет и не имеет признаков прекращения.

Угрозы RAT могут привести к тяжелым последствиям для жертв

Трояны удаленного доступа (RAT) представляют серьезную опасность, поскольку они предоставляют злоумышленникам несанкционированный доступ и контроль над компьютером или сетью жертвы. Вот некоторые ключевые опасности, связанные с угрозами RAT:

• Несанкционированный доступ и контроль : RAT позволяют злоумышленникам получить удаленный контроль над скомпрометированной системой. Этот уровень доступа позволяет им выполнять команды, манипулировать файлами, устанавливать и удалять программное обеспечение и, по сути, контролировать компьютер жертвы, как если бы они физически присутствовали.
• Кража данных и шпионаж : RAT обычно используются для сбора частной информации, такой как учетные данные для входа, финансовые данные, личная информация и интеллектуальная собственность. Злоумышленники могут незаметно отслеживать действия пользователей, перехватывать нажатия клавиш и получать доступ к файлам, что приводит к потенциальной утечке данных и корпоративному шпионажу.
• Наблюдение и вторжение в частную жизнь : после установки RAT злоумышленники могут активировать веб-камеру и микрофон жертвы без ее ведома, что приводит к несанкционированному наблюдению. Такое нарушение конфиденциальности может иметь серьезные последствия для отдельных лиц и организаций.
• Распространение и горизонтальное перемещение . RAT часто обладают способностью самовоспроизводиться и распространяться внутри сети, что позволяет злоумышленникам перемещаться в горизонтальном направлении через инфраструктуру организации. Это может привести к компрометации нескольких систем и повышению общей угрозы безопасности.
• Финансовые потери и мошенничество . RAT, обладающие возможностями банковского мошенничества, могут быть нацелены на финансовые учреждения и пользователей, что приводит к несанкционированным транзакциям, краже средств и другим финансовым потерям. Криптоторговые платформы также являются уязвимыми целями для злоумышленников, стремящихся получить финансовую выгоду.
• Нарушение работы служб . Злоумышленники могут использовать RAT для нарушения работы служб путем изменения или удаления важных файлов, изменения конфигурации системы или запуска атак типа «отказ в обслуживании». Это может привести к простоям, финансовым потерям и ущербу репутации организации.
• Стойкость и сложность обнаружения . RAT предназначены для обеспечения устойчивости скомпрометированных систем, что затрудняет их обнаружение и удаление. Они могут использовать различные методы обхода мер безопасности, что затрудняет выявление и устранение угрозы традиционными антивирусными решениями.
• Геополитический и корпоративный шпионаж . Спонсируемые государством субъекты и группы корпоративного шпионажа могут использовать RAT в стратегических целях для получения доступа к конфиденциальной информации, интеллектуальной собственности или секретным данным. Это может иметь далеко идущие результаты для национальной безопасности и пострадавших организаций.

Чтобы снизить риски, связанные с угрозами RAT, организации и частные лица должны применять надежные меры кибербезопасности, включая регулярные проверки безопасности, мониторинг сети, защиту конечных точек и обучение пользователей, чтобы распознавать и избегать фишинговых атак.