Las instituciones financieras mexicanas están bajo el radar de una nueva campaña de phishing que ofrece una versión modificada de un troyano de acceso remoto de código abierto llamado AllaKore RAT .
El equipo de investigación e inteligencia de BlackBerry atribuyó la actividad a un actor de amenazas desconocido con base en América Latina y motivado financieramente. La campaña ha estado activa desde al menos 2021.
«Los señuelos utilizan esquemas de nombres del Instituto Mexicano del Seguro Social (IMSS) y enlaces a documentos legítimos y benignos durante el proceso de instalación», dijo la compañía canadiense en un análisis publicado a principios de esta semana.
«La carga útil AllaKore RAT está muy modificada para permitir que los actores de amenazas envíen credenciales bancarias robadas e información de autenticación única a un servidor de comando y control (C2) con fines de fraude financiero».
Los ataques parecen estar diseñados para señalar particularmente a las grandes empresas con ingresos brutos superiores a los 100 millones de dólares. Las entidades objetivo abarcan los sectores minorista, agrícola, público, manufacturero, de transporte, de servicios comerciales, de bienes de capital y bancario.
La cadena de infección comienza con un archivo ZIP que se distribuye mediante phishing o un compromiso drive-by, que contiene un archivo de instalación MSI que descarga un descargador .NET responsable de confirmar la geolocalización mexicana de la víctima y recuperar el AllaKore RAT alterado , un Delphi. -basado en RAT observado por primera vez en 2015.
«AllaKore RAT, aunque algo básico, tiene la potente capacidad de registrar teclas, capturar pantallas, cargar/descargar archivos e incluso tomar control remoto de la máquina de la víctima», dijo BlackBerry.
Las nuevas funciones agregadas al malware por el actor de amenazas incluyen soporte para comandos relacionados con fraude bancario, apuntar a bancos mexicanos y plataformas de comercio de cifrado, lanzar un shell inverso, extraer contenido del portapapeles y buscar y ejecutar cargas útiles adicionales.
Los vínculos del actor de amenazas con América Latina provienen del uso de las IP de Starlink de México utilizadas en la campaña, así como de la adición de instrucciones en español a la carga útil RAT modificada. Además, los señuelos empleados sólo funcionan para empresas que son lo suficientemente grandes como para reportar directamente al Instituto Mexicano del Seguro Social ( IMSS ).
«Este actor de amenazas ha estado apuntando persistentemente a entidades mexicanas con el fin de obtener ganancias financieras», dijo la compañía. «Esta actividad ha continuado durante más de dos años y no muestra signos de detenerse».
Los hallazgos se producen cuando IOActive dijo que identificó tres vulnerabilidades en los cajeros automáticos bitcoin de Lamassu Douro (CVE-2024-0175, CVE-2024-0176 y CVE-2024-0177) que podrían permitir que un atacante con acceso físico tome el control total del dispositivos y robar activos de los usuarios.
Los ataques son posibles aprovechando el mecanismo de actualización de software del cajero automático y la capacidad del dispositivo para leer códigos QR para suministrar su propio archivo malicioso y desencadenar la ejecución de código arbitrario. La empresa suiza solucionó los problemas en octubre de 2023.
Fuente y redacción: thehackernews.com
