Attacco AllaKore RAT: Nuova Minaccia con Target Aziende Messicane per Frode Finanziaria
Il malware AllaKore RAT sta rappresentando una grave minaccia per le aziende messicane, utilizzando un sofisticato attacco di spear-phishing. Il team di ricerca e intelligence di BlackBerry ha individuato l’attività, attribuendola a un attore minaccioso con motivazioni finanziarie con base in America Latina, attivo dal 2021.
L’analisi dell’azienda canadese rivela che le esche dell’attacco utilizzano schemi di denominazione dell’Istituto Messicano della Sicurezza Sociale (IMSS) e collegamenti a documenti legittimi durante l’installazione. Il payload di AllaKore RAT è stato pesantemente modificato per inviare credenziali bancarie rubate e informazioni di autenticazione a un server di controllo (C2) per scopi di frode finanziaria.
Gli attacchi sembrano mirare principalmente a grandi aziende con ricavi superiori a 100 milioni di dollari, coinvolgendo settori come vendita al dettaglio, agricoltura, settore pubblico, manifatturiero, trasporti, servizi commerciali e bancario.
La catena di infezione inizia con un file ZIP distribuito attraverso phishing o drive-by compromise, contenente un installer MSI che rilascia un downloader .NET. Quest’ultimo conferma la geolocalizzazione messicana della vittima e recupera AllaKore RAT, un trojan basato su Delphi osservato per la prima volta nel 2015.
Nonostante la sua apparente semplicità, AllaKore RAT ha la potente capacità di registrare tasti, catturare schermate, caricare/scaricare file e prendere il controllo remoto della macchina della vittima.
Le nuove funzioni aggiunte al malware includono comandi legati alla frode bancaria, con un focus particolare sulle banche messicane e le piattaforme di trading di criptovalute. Il malware può avviare una shell inversa, estrarre il contenuto degli appunti e eseguire payload aggiuntivi.
L’attore minaccioso mostra legami con l’America Latina attraverso l’uso di indirizzi IP di Mexico Starlink e istruzioni in spagnolo nel payload RAT modificato. Le esche sono progettate per aziende abbastanza grandi da rendere conto direttamente all’Istituto Messicano della Sicurezza Sociale (IMSS).
Questo attore minaccioso ha mirato con persistenza alle entità messicane per oltre due anni, con attività che non mostra segni di arresto. Nel contesto, IOActive ha identificato tre vulnerabilità nei bancomat bitcoin Lamassu Douro, risolte dalla società svizzera nell’ottobre 2023, che potrebbero consentire a un attaccante con accesso fisico di prendere il controllo del dispositivo e rubare gli asset degli utenti.