Mexikanische Finanzinstitute sind Ziel einer neuen Spear-Phishing-Kampagne, die eine modifizierte Version eines Open-Source-Remote-Access-Trojaners namens AllaKore RAT verwendet. Das BlackBerry Research and Intelligence Team hat die Aktivität einem unbekannten lateinamerikanischen Akteur mit finanziellen Motiven zugeschrieben. Die Kampagne ist seit mindestens 2021 aktiv.
Der kanadische Konzern erklärte in einer früheren Analyse: „Die Köder verwenden die Namensschemata des Mexikanischen Sozialversicherungsinstituts (IMSS) und Links zu legitimen, harmlosen Dokumenten während des Installationsprozesses.“ Die AllaKore RAT-Nutzlast wurde stark modifiziert, um den Angreifern das Senden gestohlener Banking-Anmeldeinformationen und einzigartiger Authentifizierungsinformationen an einen Command-and-Control-Server (C2) für finanziellen Betrug zu ermöglichen.
Die Angriffe scheinen darauf abzielen, insbesondere große Unternehmen mit Bruttoerlösen von über 100 Millionen US-Dollar zu treffen. Die angegriffenen Unternehmen umfassen den Einzelhandel, die Landwirtschaft, den öffentlichen Sektor, die Fertigungsindustrie, den Transport, kommerzielle Dienstleistungen, Investitionsgüter und den Bankensektor.
Die Infektionskette beginnt mit einer ZIP-Datei, die entweder über Phishing oder einen Drive-by-Kompromiss verteilt wird. Diese enthält eine MSI-Installationsdatei, die einen .NET-Downloader ablegt, der für die Bestätigung der mexikanischen Geolokalisierung des Opfers verantwortlich ist. Anschließend wird das modifizierte AllaKore RAT heruntergeladen, ein Delphi-basierter RAT, der erstmals 2015 beobachtet wurde.
„AllaKore RAT ist zwar recht einfach, verfügt aber über die Fähigkeit, Tastatureingaben mitzuschneiden, Bildschirmfotos zu machen, Dateien hoch- und herunterzuladen und sogar die Kontrolle über das Opfersystem zu übernehmen“, so BlackBerry.
Die Bedrohungsakteure haben dem Schadprogramm neue Funktionen hinzugefügt, darunter Unterstützung für Befehle im Zusammenhang mit Bankbetrug, die gezielt mexikanische Banken und Krypto-Trading-Plattformen angreifen. Zudem kann das RAT-Programm eine Reverse Shell starten, den Inhalt der Zwischenablage extrahieren und zusätzliche Nutzlasten abrufen und ausführen.
Die Links der Bedrohungsakteure zu Lateinamerika kommen von der Verwendung von Mexico Starlink-IPs und von spanischsprachigen Anweisungen in der modifizierten RAT-Nutzlast. Darüber hinaus funktionieren die Köder nur für Unternehmen, die groß genug sind, um direkt an das Mexikanische Sozialversicherungsinstitut (IMSS) zu berichten.
„Dieser Bedrohungsakteur hat hartnäckig mexikanische Unternehmen mit dem Ziel des finanziellen Gewinns ins Visier genommen“, so das Unternehmen. „Diese Aktivität hat über zwei Jahre lang angedauert und zeigt keine Anzeichen eines Endes.“
Die Studie kommt zu einem Zeitpunkt, an dem IOActive drei Schwachstellen in Bitcoin-Automaten von Lamassu Douro (CVE-2024-0175, CVE-2024-0176 und CVE-2024-0177) identifiziert hat. Diese Schwachstellen könnten es einem Angreifer mit physischem Zugang ermöglichen, die Kontrolle über die Geräte zu übernehmen und Benutzerdaten zu stehlen.
Die Angriffe werden ermöglicht, indem der Mechanismus für das Software-Update des Automaten und die Fähigkeit des Geräts, QR-Codes zu lesen, um eine eigene schädliche Datei bereitzustellen und die Ausführung beliebigen Codes auszulösen, ausgenutzt werden. Die Probleme wurden von dem Schweizer Unternehmen im Oktober 2023 behoben.