Meksikalı finans kurumları, AllaKore RAT adı verilen açık kaynaklı uzaktan erişim truva atının değiştirilmiş bir versiyonunu sunan yeni bir hedef odaklı kimlik avı kampanyasının radarı altında.
BlackBerry Araştırma ve İstihbarat Ekibi, etkinliği, Latin Amerika merkezli, finansal motivasyona sahip bilinmeyen bir tehdit aktörüne bağladı. Kampanya en az 2021’den beri aktif.
Kanadalı şirket bu hafta başlarında yayınlanan bir analizde, “Lures, yükleme işlemi sırasında Meksika Sosyal Güvenlik Enstitüsü’nün (IMSS) adlandırma şemalarını ve meşru, zararsız belgelere olan bağlantıları kullanıyor.” dedi.
“AllaKore RAT yükü, tehdit aktörlerinin çalınan bankacılık kimlik bilgilerini ve benzersiz kimlik doğrulama bilgilerini mali dolandırıcılık amacıyla bir komuta ve kontrol (C2) sunucusuna geri göndermesine olanak tanıyacak şekilde büyük ölçüde değiştirildi.”
Saldırıların özellikle brüt geliri 100 milyon doların üzerinde olan büyük şirketleri hedef almak için tasarlandığı görülüyor. Hedeflenen kuruluşlar perakende, tarım, kamu sektörü, imalat, ulaştırma, ticari hizmetler, sermaye malları ve bankacılık sektörlerini kapsamaktadır.
Bulaşma zinciri, kimlik avı yoluyla veya bir saldırı yoluyla dağıtılan bir ZIP dosyasıyla başlıyor; bu dosya, kurbanın Meksika coğrafi konumunu doğrulamaktan ve bir Delphi olan değiştirilmiş AllaKore RAT’ı almaktan sorumlu bir .NET indiricisini bırakan bir MSI yükleyici dosyasını içeriyor. tabanlı RAT ilk kez 2015’te gözlemlendi.
BlackBerry, “AllaKore RAT, her ne kadar basit olsa da, tuş kaydı yapma, ekran yakalama, dosya yükleme/indirme ve hatta kurbanın makinesinin uzaktan kontrolünü ele geçirme konusunda güçlü bir yeteneğe sahip” dedi.
Tehdit aktörü tarafından kötü amaçlı yazılıma eklenen yeni işlevler arasında bankacılık dolandırıcılığıyla ilgili komutların desteklenmesi, Meksika bankalarının ve kripto ticaret platformlarının hedef alınması, ters kabuk başlatılması, pano içeriğinin çıkarılması ve ek veri yüklerinin getirilmesi ve yürütülmesi yer alıyor.
Tehdit aktörünün Latin Amerika ile olan bağlantıları, kampanyada kullanılan Meksika Starlink IP’lerinin kullanılmasının yanı sıra değiştirilmiş RAT yüküne İspanyolca dilindeki talimatların eklenmesinden kaynaklanmaktadır. Ayrıca, kullanılan yemler yalnızca Meksika Sosyal Güvenlik Enstitüsü (IMSS) departmanına doğrudan rapor verecek kadar büyük şirketler için işe yarıyor.
Şirket, “Bu tehdit aktörü, mali kazanç amacıyla sürekli olarak Meksika kuruluşlarını hedef alıyor” dedi. “Bu faaliyet iki yılı aşkın bir süredir devam ediyor ve durma belirtisi göstermiyor.”
Bulgular, IOActive’in Lamassu Douro bitcoin ATM’lerinde fiziksel erişime sahip bir saldırganın Bitcoin ATM’lerinin tam kontrolünü ele geçirmesine izin verebilecek üç güvenlik açığı (CVE-2024-0175, CVE-2024-0176 ve CVE-2024-0177) tespit ettiğini söylediğinde geldi. cihazları çalabilir ve kullanıcı varlıklarını çalabilirsiniz.
Saldırılar, ATM’nin yazılım güncelleme mekanizmasından ve cihazın kendi kötü amaçlı dosyasını sağlamak ve rastgele kod yürütülmesini tetiklemek için QR kodlarını okuma yeteneğinden yararlanılarak gerçekleştiriliyor. Sorunlar İsviçreli şirket tarafından Ekim 2023’te düzeltildi.