Las instituciones financieras mexicanas est\u00e1n bajo el radar de una nueva campa\u00f1a de phishing que ofrece una versi\u00f3n modificada de un troyano de acceso remoto de c\u00f3digo abierto llamado AllaKore RAT<\/a>.<\/p>\n El equipo de investigaci\u00f3n e inteligencia de BlackBerry atribuy\u00f3 la actividad a un actor de amenazas desconocido con base en Am\u00e9rica Latina y motivado financieramente. La campa\u00f1a ha estado activa desde al menos 2021.<\/p>\n “Los se\u00f1uelos utilizan esquemas de nombres del Instituto Mexicano del Seguro Social (IMSS) y enlaces a documentos leg\u00edtimos y benignos durante el proceso de instalaci\u00f3n”, dijo la empresa canadiense. dicho<\/a> en un an\u00e1lisis publicado a principios de esta semana.<\/p>\n “La carga \u00fatil AllaKore RAT est\u00e1 muy modificada para permitir que los actores de amenazas env\u00eden credenciales bancarias robadas e informaci\u00f3n de autenticaci\u00f3n \u00fanica a un servidor de comando y control (C2) con fines de fraude financiero”.<\/p>\n Los ataques parecen estar dise\u00f1ados para se\u00f1alar particularmente a las grandes empresas con ingresos brutos superiores a los 100 millones de d\u00f3lares. Las entidades objetivo abarcan los sectores minorista, agr\u00edcola, p\u00fablico, manufacturero, de transporte, de servicios comerciales, de bienes de capital y bancario.<\/p>\n La cadena de infecci\u00f3n comienza con un archivo ZIP que se distribuye mediante phishing o un compromiso drive-by, que contiene un archivo de instalaci\u00f3n MSI que descarga un descargador .NET responsable de confirmar la geolocalizaci\u00f3n mexicana de la v\u00edctima y recuperar el AllaKore RAT alterado, un Delphi. -basado en RAT observado por primera vez en 2015.<\/p>\n “AllaKore RAT, aunque algo b\u00e1sico, tiene la potente capacidad de registrar teclas, capturar pantallas, cargar\/descargar archivos e incluso tomar control remoto de la m\u00e1quina de la v\u00edctima”, dijo BlackBerry.<\/p>\n Las nuevas funciones agregadas al malware por el actor de amenazas incluyen soporte para comandos relacionados con fraude bancario, apuntar a bancos mexicanos y plataformas de comercio de cifrado, lanzar un shell inverso, extraer contenido del portapapeles y buscar y ejecutar cargas \u00fatiles adicionales.<\/p>\n Los v\u00ednculos del actor de amenazas con Am\u00e9rica Latina provienen del uso de las IP de Starlink de M\u00e9xico utilizadas en la campa\u00f1a, as\u00ed como de la adici\u00f3n de instrucciones en espa\u00f1ol a la carga \u00fatil RAT modificada. Adem\u00e1s, los se\u00f1uelos empleados s\u00f3lo funcionan para empresas que son lo suficientemente grandes como para reportar directamente al Instituto Mexicano del Seguro Social (IMSS<\/a>) departamento.<\/p>\n “Este actor de amenazas ha estado apuntando persistentemente a entidades mexicanas con el fin de obtener ganancias financieras”, dijo la compa\u00f1\u00eda. “Esta actividad ha continuado durante m\u00e1s de dos a\u00f1os y no muestra signos de detenerse”.<\/p>\n Los hallazgos llegan como IOActive dicho<\/a> identific\u00f3 tres vulnerabilidades en los cajeros autom\u00e1ticos bitcoin de Lamassu Douro (CVE-2024-0175, CVE-2024-0176 y CVE-2024-0177) que podr\u00edan permitir a un atacante con acceso f\u00edsico tomar el control total de los dispositivos y robar los activos del usuario.<\/p>\n Los ataques son posibles aprovechando el mecanismo de actualizaci\u00f3n de software del cajero autom\u00e1tico y la capacidad del dispositivo para leer c\u00f3digos QR para suministrar su propio archivo malicioso y desencadenar la ejecuci\u00f3n de c\u00f3digo arbitrario. Los problemas fueron fijado<\/a> por la empresa suiza en octubre de 2023.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/El-malware-AllaKore-RAT-se-dirige-a-empresas-mexicanas-con.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n