Les institutions financières mexicaines sont sous le radar d’une nouvelle campagne de spear phishing qui propose une version modifiée d’un cheval de Troie open source d’accès à distance appelé AllaKore RAT.
L’équipe de recherche et de renseignement de BlackBerry a attribué l’activité à un acteur malveillant inconnu basé en Amérique latine et motivé par des raisons financières. La campagne est active depuis au moins 2021.
« Les leurres utilisent des schémas de dénomination et des liens vers des documents légitimes et inoffensifs pendant le processus d’installation de l’Institut mexicain de sécurité sociale (IMSS), » la société canadienne dit dans une analyse publiée plus tôt cette semaine.
« La charge utile AllaKore RAT est fortement modifiée pour permettre aux acteurs malveillants de renvoyer des informations d’identification bancaires volées et des informations d’authentification uniques à un serveur de commande et de contrôle (C2) à des fins de fraude financière. »
Les attaques semblent être conçues pour cibler particulièrement les grandes entreprises dont les revenus bruts dépassent 100 millions de dollars. Les entités ciblées couvrent les secteurs de la vente au détail, de l’agriculture, du secteur public, de la fabrication, des transports, des services commerciaux, des biens d’équipement et de la banque.
La chaîne d’infection commence par un fichier ZIP distribué via phishing ou compromission drive-by, qui contient un fichier d’installation MSI qui dépose un téléchargeur .NET chargé de confirmer la géolocalisation mexicaine de la victime et de récupérer le RAT AllaKore modifié, un fichier Delphi. -RAT basé sur la première observation en 2015.
« AllaKore RAT, bien que quelque peu basique, possède de puissantes capacités d’enregistrement de frappe, de capture d’écran, de téléchargement/téléchargement de fichiers et même de prendre le contrôle à distance de la machine de la victime », a déclaré BlackBerry.
Les nouvelles fonctions ajoutées au malware par l’acteur malveillant incluent la prise en charge des commandes liées à la fraude bancaire, le ciblage des banques mexicaines et des plateformes de trading de crypto, le lancement d’un shell inversé, l’extraction du contenu du presse-papiers et la récupération et l’exécution de charges utiles supplémentaires.
Les liens de l’acteur menaçant avec l’Amérique latine proviennent de l’utilisation des adresses IP Starlink du Mexique utilisées dans la campagne, ainsi que de l’ajout d’instructions en espagnol à la charge utile RAT modifiée. De plus, les leurres utilisés ne fonctionnent que pour des entreprises suffisamment grandes pour dépendre directement de l’Institut mexicain de sécurité sociale (IMSS) département.
« Cet acteur menaçant cible constamment les entités mexicaines à des fins de gain financier », a déclaré la société. « Cette activité se poursuit depuis plus de deux ans et ne montre aucun signe d’arrêt. »
Les résultats arrivent alors que IOActive dit il a identifié trois vulnérabilités dans les guichets automatiques bitcoin Lamassu Douro (CVE-2024-0175, CVE-2024-0176 et CVE-2024-0177) qui pourraient permettre à un attaquant disposant d’un accès physique de prendre le contrôle total des appareils et de voler les actifs des utilisateurs.
Les attaques sont rendues possibles en exploitant le mécanisme de mise à jour logicielle du guichet automatique et la capacité de l’appareil à lire les codes QR pour fournir son propre fichier malveillant et déclencher l’exécution de code arbitraire. Les problèmes étaient fixé par l’entreprise suisse en octobre 2023.