АллаКоре РАТ

Кампања спеар пхисхинг циља мексичке финансијске институције, користећи модификовану варијанту АллаКоре РАТ-а, тројанца за даљински приступ отвореног кода. Кампања је повезана са неидентификованим финансијски мотивисаним претњама са седиштем у Латинској Америци. Ова претећа активност траје најмање од 2021. Тактика пхисхинга укључује коришћење конвенција о именовању повезаних са Мексичким институтом за социјално осигурање (ИМСС) и обезбеђивање линкова до наизглед легитимних докумената током фазе инсталације. АллаКоре РАТ корисни терет који се користи у операцији напада претрпео је значајне модификације, омогућавајући актерима претњи да пренесу украдене банкарске акредитиве и јединствене детаље о аутентификацији на сервер за команду и контролу (Ц2), олакшавајући финансијску превару.

Сајбер криминалци циљају велике корпорације помоћу АллаКоре РАТ-а

Чини се да су напади посебно фокусирани на велике корпорације са годишњим приходима који прелазе 100 милиона долара. Циљани субјекти обухватају различите секторе, укључујући малопродају, пољопривреду, јавни сектор, производњу, транспорт, комерцијалне услуге, капитална добра и банкарство.

Инфекција се дешава са ЗИП датотеком која се дистрибуира путем пхисхинг-а или компромиса путем диска. Ова ЗИП датотека садржи МСИ инсталатер одговоран за примену .НЕТ програма за преузимање. Примарни задаци преузимача укључују потврду мексичке геолокације жртве и преузимање модификованог АллаКоре РАТ-а. АллаКоре РАТ, првобитно идентификован 2015. као РАТ базиран на Делпхију, може изгледати донекле базичан, али поседује моћне могућности као што су кеилоггинг, снимање екрана, отпремање/преузимање датотека, па чак и даљинска контрола погођеног система.

АллаКоре РАТ је опремљен додатним претећим карактеристикама

Актер претње је унапредио малвер новим функцијама првенствено усмереним на банкарске преваре, посебно циљајући мексичке банке и платформе за крипто трговину. Додате карактеристике укључују могућност покретања команди за покретање обрнуте љуске, издвајање садржаја међуспремника и преузимање, као и извршавање додатних корисних оптерећења.

Веза актера претње са Латинском Америком је очигледна кроз коришћење Мексичких Старлинк ИП адреса у кампањи. Поред тога, модификовани РАТ терет укључује упутства на шпанском језику. Значајно је да су мамци за крађу идентитета прилагођени компанијама значајне величине које директно извештавају одељење Мексичког института за социјално осигурање (ИМСС).

Овај упорни актер претњи доследно усмерава своје напоре ка мексичким ентитетима са намером финансијске експлоатације. Штетна активност траје више од две године, без назнака престанка.

Претње од пацова могу довести до тешких последица за жртве

Тројанци за даљински приступ (РАТ) представљају значајну опасност јер обезбеђују неовлашћен приступ и контролу над рачунаром или мрежом жртве злонамерним актерима. Ево неких кључних опасности повезаних са РАТ претњама:

• Неовлашћени приступ и контрола : РАТ-ови омогућавају нападачима да добију даљинску контролу над компромитованим системом. Овај ниво приступа им омогућава да извршавају команде, манипулишу датотекама, инсталирају и деинсталирају софтвер и у суштини контролишу рачунар жртве као да су физички присутни.
• Крађа података и шпијунажа : РАТ-ови се обично користе за прикупљање приватних информација, као што су акредитиви за пријаву, финансијски подаци, лични подаци и интелектуална својина. Нападачи могу нечујно да надгледају активности корисника, снимају притиске на тастере и приступају датотекама, што доводи до потенцијалног кршења података и корпоративне шпијунаже.
• Надзор и инвазија на приватност : Када се РАТ примени, нападачи могу да активирају веб камеру и микрофон жртве без њиховог знања, што доводи до неовлашћеног надзора. Ово кршење приватности може имати значајне последице по појединце и организације.
• Пропагација и бочно кретање : РАТ-ови често имају способност да се самореплицирају и шире унутар мреже, омогућавајући нападачима да се крећу бочно кроз инфраструктуру организације. Ово може довести до компромитовања више система и ескалације укупне безбедносне претње.
• Финансијски губитак и превара : РАТ-ови са могућностима за банкарске преваре могу циљати финансијске институције и кориснике, што доводи до неовлашћених трансакција, крађе средстава и других финансијских губитака. Платформе за крипто трговину су такође рањиве мете за нападаче који траже финансијску добит.
• Ометање услуга : Нападачи могу користити РАТ-ове да ометају услуге модификацијом или брисањем критичних датотека, променом конфигурације система или покретањем напада ускраћивања услуге. Ово може довести до застоја, финансијских губитака и штете по репутацију организације.
• Постојаност и тешкоћа детекције : РАТ-ови су дизајнирани да одржавају постојаност на компромитованим системима, што их чини изазовним за откривање и уклањање. Они могу користити различите технике избегавања да заобиђу безбедносне мере, што отежава традиционалним антивирусним решењима да идентификују и ублаже претњу.
• Геополитичка и корпоративна шпијунажа : Актери које спонзорише држава и корпоративне шпијунске групе могу користити РАТ-ове у стратешке сврхе да би добили приступ осетљивим информацијама, интелектуалној својини или поверљивим подацима. Ово може имати далекосежне резултате за националну безбедност и погођене организације.

Да би ублажили ризике повезане са РАТ претњама, организације и појединци треба да примене робусне мере сајбер безбедности, укључујући редовне безбедносне ревизије, надгледање мреже, заштиту крајњих тачака и обуку о свести корисника како би препознали и избегли пхисхинг нападе.