阿拉科鼠

鱼叉式网络钓鱼活动针对墨西哥金融机构，使用 AllaKore RAT（一种开源远程访问木马）的修改变种。该活动与拉丁美洲一个身份不明、出于经济动机的威胁行为者有关。这种威胁活动至少自 2021 年以来一直在持续。网络钓鱼策略涉及利用与墨西哥社会保障研究所 (IMSS) 相关的命名约定，并在安装阶段提供看似合法文档的链接。攻击操作中使用的 AllaKore RAT 有效负载已进行了重大修改，使威胁行为者能够将窃取的银行凭证和独特的身份验证详细信息传输到命令与控制 (C2) 服务器，从而促进金融欺诈。

网络犯罪分子利用 AllaKore RAT 瞄准大型企业

这些攻击似乎特别针对年收入超过 1 亿美元的大公司。目标实体涵盖各个行业，包括零售、农业、公共部门、制造业、运输、商业服务、资本货物和银行业。

通过网络钓鱼或偷渡式攻击分发的 ZIP 文件会发生感染。此 ZIP 文件包含负责部署 .NET 下载程序的 MSI 安装程序。下载程序的主要任务包括确认受害者的墨西哥地理位置并获取修改后的 AllaKore RAT。 AllaKore RAT 最初于 2015 年被确定为基于 Delphi 的 RAT，可能看起来有些基本，但拥有强大的功能，例如键盘记录、屏幕捕获、文件上传/下载，甚至远程控制受影响的系统。

AllaKore RAT 配备了额外的威胁功能

威胁行为者通过主要针对银行欺诈的新功能增强了恶意软件，特别针对墨西哥银行和加密货币交易平台。添加的功能包括启动命令以启动反向 shell、提取剪贴板内容、获取以及执行其他有效负载的能力。

通过在活动中使用墨西哥星链 IP，可以明显看出威胁行为者与拉丁美洲的联系。此外，修改后的 RAT 有效负载包括西班牙语指令。值得注意的是，网络钓鱼诱饵是为直接向墨西哥社会保障研究所 (IMSS) 部门报告的规模较大的公司量身定制的。

这个持续的威胁行为者一直将其努力瞄准墨西哥实体，目的是进行金融剥削。这种有害活动已经持续了两年多，没有任何停止的迹象。

RAT 威胁可能会给受害者带来严重后果

远程访问特洛伊木马 (RAT) 会带来重大危险，因为它们向恶意行为者提供对受害者计算机或网络的未经授权的访问和控制。以下是与 RAT 威胁相关的一些主要危险：

• 未经授权的访问和控制：RAT 允许攻击者远程控制受感染的系统。这种级别的访问使他们能够执行命令、操作文件、安装和卸载软件，并从本质上控制受害者的计算机，就像他们实际存在一样。
• 数据盗窃和间谍活动：RAT 通常用于收集私人信息，例如登录凭据、财务数据、个人信息和知识产权。攻击者可以悄悄地监视用户活动、捕获击键并访问文件，从而导致潜在的数据泄露和企业间谍活动。
• 监视和隐私入侵：一旦部署 RAT，攻击者就可以在受害者不知情的情况下激活受害者的网络摄像头和麦克风，从而导致未经授权的监视。这种侵犯隐私的行为可能会给个人和组织带来有意义的后果。
• 传播和横向移动：RAT 通常具有在网络内自我复制和传播的能力，允许攻击者通过组织的基础设施横向移动。这可能会导致多个系统受到损害并导致整体安全威胁升级。
• 财务损失和欺诈：具有银行欺诈能力的 RAT 可以针对金融机构和用户，导致未经授权的交易、资金盗窃和其他财务损失。加密货币交易平台也是寻求经济利益的攻击者的脆弱目标。
• 服务中断：攻击者可能会使用 RAT 通过修改或删除关键文件、更改系统配置或发起拒绝服务攻击来中断服务。这可能会导致停机、财务损失以及组织声誉受损。
• 持久性和检测难度：RAT 旨在保持受感染系统的持久性，从而使检测和删除它们变得困难。他们可能会使用各种规避技术来绕过安全措施，从而使传统的防病毒解决方案难以识别和减轻威胁。
• 地缘政治和企业间谍活动：国家支持的行为者和企业间谍组织可能会出于战略目的使用 RAT 来获取敏感信息、知识产权或机密数据。这可能会对国家安全和受影响的组织产生深远的影响。

为了减轻与 RAT 威胁相关的风险，组织和个人应采用强大的网络安全措施，包括定期安全审核、网络监控、端点保护和用户意识培训，以识别和避免网络钓鱼攻击。