Le istituzioni finanziarie messicane sono nel mirino di una nuova campagna di spear-phishing che distribuisce una versione modificata di un trojan per l’accesso remoto open-source chiamato AllaKore RAT.
Il rapporto della nota azienda BlackBerry sul RAT AllaKore
Il BlackBerry Research and Intelligence Team ha attribuito l’attività a un attore minaccioso sconosciuto, motivato finanziariamente e con base in America Latina; secondo gli esperti, questa campagna è attiva almeno dal 2021.
“Le esche utilizzano schemi di denominazione dell’Istituto Messicano della Sicurezza Sociale (IMSS) e collegamenti a documenti legittimi e benigni durante il processo di installazione“, ha dichiarato l’azienda canadese in un’analisi pubblicata all’inizio di questa settimana, e ha poi aggiunto: “Il carico utile di AllaKore RAT è pesantemente modificato per consentire agli attori minacciosi di inviare credenziali bancarie rubate e informazioni di autenticazione uniche a un server di comando e controllo (C2) a fini di frode finanziaria”.
Gli attacchi sembrano essere progettati in particolare per prendere di mira a grandi aziende con ricavi lordi superiori a 100 milioni di dollari; pertanto le entità che vengono prese di mira da questo attacco spaziano tra vari settori come al dettaglio, agricoltura, settore pubblico, produzione, trasporti, servizi commerciali, beni di consumo, e settori bancari.
La catena di infezione inizia con un file ZIP distribuito tramite phishing o compromissione drive-by, contenente un file di installazione MSI che rilascia un downloader .NET responsabile di confermare la geolocalizzazione messicana della vittima e di recuperare AllaKore RAT modificato, un RAT basato su Delphi che si è visto comparire per la prima volta nel 2015.
“AllaKore RAT, sebbene abbastanza basilare, ha la potente capacità di registrare le tastiere, catturare schermate, caricare/scaricare file e persino prendere il controllo remoto della macchina della vittima“, ha dichiarato BlackBerry.
Le nuove funzioni aggiunte al malware dall’attore minaccioso includono il supporto per comandi legati alla frode bancaria, mirando alle banche messicane e alle piattaforme di trading di criptovalute, l’avvio di una shell inversa, l’estrazione del contenuto degli appunti e il recupero ed esecuzione di carichi utili aggiuntivi.
I collegamenti dell’attore minaccioso con l’America Latina provengono dall’uso degli indirizzi IP di Starlink del Messico utilizzati nella campagna, così come l’aggiunta di istruzioni in lingua spagnola al carico utile RAT modificato e oltretutto, le esche che sono state utilizzate funzionano solo per le aziende abbastanza grandi da riferire direttamente al dipartimento dell’Istituto Messicano della Sicurezza Sociale (IMSS).
“Questo criminale informatico [o criminali informatici] ha [o hanno] preso di mira in modo persistente a entità messicane per scopi di guadagno finanziario“, ha dichiarato l’azienda. “Questa attività è continuata per oltre due anni e non mostra segni di arresto“.
Le scoperte giungono mentre IOActive ha identificato tre vulnerabilità negli sportelli bitcoin Lamassu Douro (CVE-2024-0175, CVE-2024-0176 e CVE-2024-0177) che potrebbero consentire a un attaccante con accesso fisico di assumere il controllo completo dei dispositivi e rubare gli asset degli utenti.
Gli attacchi sono resi possibili sfruttando il meccanismo di aggiornamento del software degli sportelli automatici e la capacità del dispositivo di leggere i codici QR per fornire il proprio file dannoso e attivare l’esecuzione di codice malevolo; ma in tutto questo va segnalato che i problemi sono stati risolti dalla società svizzera nell’ottobre 2023.
