Τα μεξικανικά χρηματοπιστωτικά ιδρύματα είναι στο επίκεντρο μιας νέας εκστρατείας spear-phishing που παρέχει μια τροποποιημένη έκδοση ενός trojan απομακρυσμένης πρόσβασης ανοιχτού κώδικα, γνωστού ως AllaKore RAT.
Η επίθεση, με κίνητρο τα οικονομικά, αποδίδεται σε έναν ανώνυμο παράγοντα απειλών στη Λατινική Αμερική, ο οποίος είναι ενεργός από το 2021. Οι επιθέσεις στοχεύουν μεγάλες εταιρείες σε διάφορους τομείς, συμπεριλαμβανομένου του λιανικού εμπορίου και των τραπεζών, που έχουν έσοδα άνω των 100 εκατομμυρίων δολαρίων.
Διαβάστε ακόμη: Το WhiteSnake Stealer Malware μεταφέρεται σε υπολογιστές με Windows
Η μόλυνση ξεκινά με ένα ZIP αρχείο που περιέχει μια εγκατάσταση MSI, με το AllaKore RAT προσαρμοσμένο για την κλοπή τραπεζικών διαπιστευτηρίων. Παρά την απλότητά του, το AllaKore RAT είναι σε θέση να καταγράφει το πληκτρολόγιο και την οθόνη, να ανεβάζει και να κατεβάζει αρχεία, καθώς και να αποκτά απομακρυσμένο έλεγχο. Ενισχυμένες λειτουργίες περιλαμβάνουν υποστήριξη για τραπεζική απάτη, επίθεση σε μεξικάνικες τράπεζες, εξαγωγή περιεχομένου από το πρόχειρο και ανάκτηση επιπλέον δεδομένων.
Η απειλή που αναφέρεται πηγάζει από τη χρήση IP διευθύνσεων του Starlink στο Μεξικό, οι οποίες συνδέονται με μια εκστρατεία που στοχεύει μεξικανικές οντότητες. Οι σύνδεσμοι περιλαμβάνουν οδηγίες στα ισπανικά σε ένα τροποποιημένο κακόβουλο φορτίο RAT. Αυτά τα μέσα χρησιμοποιούνται αποκλειστικά από μεγάλες εταιρείες που συνδέονται με το Μεξικανικό Ινστιτούτο Κοινωνικής Ασφάλισης (IMSS). Η απειλή αποβλέπει σε οικονομικό κέρδος και διαρκεί εδώ και περισσότερα από δύο χρόνια. Επιπλέον, ανιχνεύθηκαν τρία ευαίσθητα σημεία σε Bitcoin ATMs που επιτρέπουν πλήρη έλεγχο και κλοπή προσωπικών περιουσιακών στοιχείων των χρηστών.
Δείτε περισσότερα: Chameleon banking trojan: Νέα παραλλαγή παρακάμπτει βιομετρικούς ελέγχους
Οι επιθέσεις εκμεταλλεύονται τη λειτουργία του μηχανισμού ενημέρωσης του λογισμικού και τη δυνατότητα ανάγνωσης των κωδικών QR. Τα προβλήματα αυτά αντιμετωπίστηκαν ωστόσο τον Οκτώβριο του 2023 από μια εταιρεία στην Ελβετία.
Πηγή: thehackernews.com
