La campaña de spear-phishing que distribuye una versión modificada del troyano AllaKore RAT está poniendo en riesgo a las instituciones financieras mexicanas. Este ataque, con motivaciones financieras desconocidas y con base en América Latina, ha estado activo desde 2021.
El actor de amenazas utiliza señuelos que aparentan ser del Instituto Mexicano del Seguro Social para atraer a sus víctimas y, una vez instalado, el malware puede robar credenciales bancarias y enviar información de autenticación única a un servidor de comando y control (C2) con fines de fraude financiero. Las entidades objetivo son empresas con ingresos brutos superiores a $100 millones en los sectores minorista, agrícola, público, manufacturero, de transporte, de servicios comerciales, de bienes de capital y bancario.
La infección comienza con un archivo ZIP que se distribuye a través de phishing o compromiso drive-by, que contiene un instalador MSI que cae para que el AllaKore RAT modificado sea descargado. Aunque el AllaKore RAT es un RAT básico, tiene la capacidad para registrar pulsaciones de teclas, capturar capturas de pantalla, subir y descargar archivos. Además, puede tomar el control remoto de la máquina de la víctima y agregar nuevas funciones al malware para comandos relacionados con el fraude bancario, shell inversa, extracción del contenido del portapapeles, y obtener y ejecutar cargas útiles adicionales.
El equipo de investigación e inteligencia de BlackBerry ha vinculado a los atacantes con América Latina debido al uso de IPs de Starlink México en la campaña, además de la presencia de instrucciones en español en la carga útil de RAT modificada. Las vulnerabilidades en los cajeros automáticos de bitcoin Lamassu Douro también han sido descubiertas por IOActive. Las vulnerabilidades permiten que un atacante tome el control total del dispositivo y robe los activos del usuario. La compañía suiza solucionó los problemas en octubre de 2023.