Entidades financieras en México están siendo objeto de una nueva campaña de spear-phishing que promueve una variante alterada de un troyano de acceso remoto de código abierto denominado AllaKore RAT.

BlackBerry señaló que:

Los señuelos utilizan esquemas de nomenclatura asociados al Instituto Mexicano del Seguro Social (IMSS) y enlaces a documentos aparentemente legítimos y benignos durante el proceso de instalación.
La carga útil de AllaKore RAT ha sido considerablemente modificada para posibilitar que los actores de amenazas envíen credenciales bancarias e información de autenticación única a un servidor de comando y control (C2) con el propósito de llevar a cabo fraudes financieros.
Se ha atribuido esta actividad a un actor de amenazas desconocido con base en América Latina, que ha estado llevando a cabo la campaña desde al menos 2021.

Los ataques están dirigidos específicamente a grandes empresas con ingresos brutos que superan los 100 millones de dólares, abarcando sectores como el minorista, agrícola, público, manufacturero, transporte, servicios comerciales, bienes de capital y bancario.

La secuencia de infección se inicia con un archivo ZIP distribuido mediante phishing o drive-by. Este archivo contiene un instalador MSI que desencadena un descargador .NET encargado de confirmar la geolocalización mexicana de la víctima y obtener el AllaKore RAT modificado (basado en Delphi).

Este malware tiene capacidades potentes, como la capacidad de registrar pulsaciones de teclas, capturar pantallas, transferir archivos y tomar control remoto de la máquina de la víctima.

El actor de amenazas ha agregado nuevas funciones, incluyendo compatibilidad con comandos relacionados con el fraude bancario, orientados a bancos y plataformas de comercio de criptomonedas en México. También puede ejecutar un shell inverso, extraer información del portapapeles (Además, descargar e instalar ejecutar cargas útiles adicionales).

Las conexiones de los ciberdelincuentes con América Latina se evidencian mediante el uso de direcciones IP de Starlink en México y la incorporación de instrucciones en español en la carga útil RAT modificada.

Fuente:

AllaKore RAT Malware Targeting Mexican Firms with Financial Fraud Tricks

Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT

AllaKore (Malware Family)