Мексиканские финансовые учреждения попали в поле зрения новой фишинг-кампании, которая распространяет модифицированную версию троянца удаленного доступа с открытым исходным кодом под названием AllaKore RAT.
Команда BlackBerry Research and Intelligence приписала эту активность неизвестному субъекту угрозы из Латинской Америки, мотивированному финансовыми мотивами. Кампания активна как минимум с 2021 года.
"Приманки используют схемы именования Мексиканского института социального обеспечения (IMSS) и ссылки на законные, безопасные документы в процессе установки", - заявила канадская компания в анализе, опубликованном ранее на этой неделе.
"Полезная нагрузка AllaKore RAT сильно модифицирована, чтобы позволить субъектам угрозы отправлять украденные банковские учетные данные и уникальную аутентификационную информацию обратно на сервер командования и контроля (C2) в целях финансового мошенничества".
Атаки, по-видимому, предназначены для того, чтобы особо выделить крупные компании с валовым доходом более 100 миллионов долларов. Целевые объекты охватывают розничную торговлю, сельское хозяйство, государственный сектор, производство, транспорт, коммерческие услуги, средства производства и банковский сектор.
Цепочка заражения начинается с ZIP-файла, распространяемого либо с помощью фишинга, либо путем компрометации, который содержит установочный файл MSI, который удаляет загрузчик .NET, ответственный за подтверждение мексиканской геолокации жертвы и извлечение измененного AllaKore RAT, RAT на базе Delphi, впервые обнаруженного в 2015 году.
"AllaKore RAT, хотя и несколько примитивна, обладает мощными возможностями ведения кейлогга, захвата экрана, загрузки файлов и даже удаленного управления компьютером жертвы", - заявили в BlackBerry.
Новые функции, добавленные в вредоносное ПО злоумышленником, включают поддержку команд, связанных с банковским мошенничеством, нацеливание на мексиканские банки и платформы криптовалютной торговли, запуск обратной оболочки, извлечение содержимого буфера обмена, а также выборку и выполнение дополнительных полезных нагрузок.
Ссылки злоумышленника на Латинскую Америку связаны с использованием IP-адресов Starlink в Мексике, используемых в кампании, а также добавлением инструкций на испанском языке к модифицированной полезной нагрузке RAT. Кроме того, используемые приманки работают только для компаний, которые достаточно велики, чтобы подчиняться непосредственно департаменту Мексиканского института социального обеспечения (IMSS).
"Этот субъект угрозы постоянно нацеливался на мексиканские организации с целью получения финансовой выгоды", - говорится в сообщении компании. "Эта деятельность продолжается более двух лет и не подает признаков прекращения".
Результаты получены после того, как IOActive заявила, что выявила три уязвимости в биткоин-банкоматах Lamassu Douro (CVE-2024-0175, CVE-2024-0176 и CVE-2024-0177), которые могут позволить злоумышленнику с физическим доступом получить полный контроль над устройствами и украсть активы пользователей.
Атаки стали возможными благодаря использованию механизма обновления программного обеспечения банкомата и способности устройства считывать QR-коды для отправки собственного вредоносного файла и запуска выполнения произвольного кода. Проблемы были исправлены швейцарской компанией в октябре 2023 года.
Команда BlackBerry Research and Intelligence приписала эту активность неизвестному субъекту угрозы из Латинской Америки, мотивированному финансовыми мотивами. Кампания активна как минимум с 2021 года.
"Приманки используют схемы именования Мексиканского института социального обеспечения (IMSS) и ссылки на законные, безопасные документы в процессе установки", - заявила канадская компания в анализе, опубликованном ранее на этой неделе.
"Полезная нагрузка AllaKore RAT сильно модифицирована, чтобы позволить субъектам угрозы отправлять украденные банковские учетные данные и уникальную аутентификационную информацию обратно на сервер командования и контроля (C2) в целях финансового мошенничества".
Атаки, по-видимому, предназначены для того, чтобы особо выделить крупные компании с валовым доходом более 100 миллионов долларов. Целевые объекты охватывают розничную торговлю, сельское хозяйство, государственный сектор, производство, транспорт, коммерческие услуги, средства производства и банковский сектор.
Цепочка заражения начинается с ZIP-файла, распространяемого либо с помощью фишинга, либо путем компрометации, который содержит установочный файл MSI, который удаляет загрузчик .NET, ответственный за подтверждение мексиканской геолокации жертвы и извлечение измененного AllaKore RAT, RAT на базе Delphi, впервые обнаруженного в 2015 году.
"AllaKore RAT, хотя и несколько примитивна, обладает мощными возможностями ведения кейлогга, захвата экрана, загрузки файлов и даже удаленного управления компьютером жертвы", - заявили в BlackBerry.
Новые функции, добавленные в вредоносное ПО злоумышленником, включают поддержку команд, связанных с банковским мошенничеством, нацеливание на мексиканские банки и платформы криптовалютной торговли, запуск обратной оболочки, извлечение содержимого буфера обмена, а также выборку и выполнение дополнительных полезных нагрузок.
Ссылки злоумышленника на Латинскую Америку связаны с использованием IP-адресов Starlink в Мексике, используемых в кампании, а также добавлением инструкций на испанском языке к модифицированной полезной нагрузке RAT. Кроме того, используемые приманки работают только для компаний, которые достаточно велики, чтобы подчиняться непосредственно департаменту Мексиканского института социального обеспечения (IMSS).
"Этот субъект угрозы постоянно нацеливался на мексиканские организации с целью получения финансовой выгоды", - говорится в сообщении компании. "Эта деятельность продолжается более двух лет и не подает признаков прекращения".
Результаты получены после того, как IOActive заявила, что выявила три уязвимости в биткоин-банкоматах Lamassu Douro (CVE-2024-0175, CVE-2024-0176 и CVE-2024-0177), которые могут позволить злоумышленнику с физическим доступом получить полный контроль над устройствами и украсть активы пользователей.
Атаки стали возможными благодаря использованию механизма обновления программного обеспечения банкомата и способности устройства считывать QR-коды для отправки собственного вредоносного файла и запуска выполнения произвольного кода. Проблемы были исправлены швейцарской компанией в октябре 2023 года.
