Multi-License Discount Quote
Base de Datos de Amenazas Remote Administration Tools AllaKore RAT

AllaKore RAT

Por Mezo en Remote Administration Tools, Advanced Persistent Threat (APT)
Traducir a:
Español

Una campaña de phishing dirigido a instituciones financieras mexicanas emplea una variante modificada de AllaKore RAT, un troyano de acceso remoto de código abierto. La campaña está vinculada a un actor de amenazas no identificado con motivos financieros con sede en América Latina. Esta actividad amenazante ha estado en curso desde al menos 2021. Las tácticas de phishing implican el uso de convenciones de nomenclatura asociadas con el Instituto Mexicano del Seguro Social (IMSS) y proporcionar enlaces a documentos aparentemente legítimos durante la fase de instalación. La carga útil AllaKore RAT utilizada en la operación de ataque ha sufrido modificaciones sustanciales, lo que permite a los actores de amenazas transmitir credenciales bancarias robadas y detalles de autenticación únicos a un servidor de comando y control (C2), lo que facilita el fraude financiero.

Los ciberdelincuentes apuntan a grandes corporaciones con AllaKore RAT

Los ataques parecen centrarse específicamente en grandes corporaciones con ingresos anuales superiores a los 100 millones de dólares. Las entidades objetivo abarcan varios sectores, incluido el comercio minorista, la agricultura, el sector público, la manufactura, el transporte, los servicios comerciales, los bienes de capital y la banca.

La infección se produce con un archivo ZIP distribuido mediante phishing o un ataque no autorizado. Este archivo ZIP contiene un instalador MSI responsable de implementar un descargador .NET. Las tareas principales del descargador incluyen confirmar la geolocalización mexicana de la víctima y recuperar el AllaKore RAT modificado. El AllaKore RAT, inicialmente identificado en 2015 como un RAT basado en Delphi, puede parecer algo básico pero posee capacidades potentes como registro de teclas, captura de pantalla, carga/descarga de archivos e incluso control remoto del sistema afectado.

El AllaKore RAT ha sido equipado con características amenazantes adicionales

El actor de amenazas ha mejorado el malware con nuevas funcionalidades centradas principalmente en el fraude bancario, específicamente dirigidas a bancos mexicanos y plataformas de comercio de cifrado. Las características adicionales incluyen la capacidad de iniciar comandos para iniciar un shell inverso, extraer contenido del portapapeles y recuperar, así como ejecutar cargas útiles adicionales.

La conexión del actor de amenazas con América Latina es evidente a través de la utilización de las IP de Starlink de México en la campaña. Además, la carga útil RAT modificada incluye instrucciones en español. En particular, los señuelos de phishing están diseñados para empresas de tamaño significativo que reportan directamente al Instituto Mexicano del Seguro Social (IMSS).

Este persistente actor de amenazas ha estado dirigiendo consistentemente sus esfuerzos hacia entidades mexicanas con la intención de explotarlas financieramente. La actividad nociva se prolonga desde hace más de dos años y no muestra indicios de cesar.

Las amenazas de RAT pueden tener consecuencias graves para las víctimas

Los troyanos de acceso remoto (RAT) plantean peligros importantes, ya que proporcionan acceso no autorizado y control sobre la computadora o la red de una víctima a actores maliciosos. A continuación se detallan algunos peligros clave asociados con las amenazas RAT:

  • Acceso y control no autorizados : las RAT permiten a los atacantes obtener control remoto de un sistema comprometido. Este nivel de acceso les permite ejecutar comandos, manipular archivos, instalar y desinstalar software y, esencialmente, controlar la computadora de la víctima como si estuvieran físicamente presentes.
  • Robo de datos y espionaje : las RAT se utilizan comúnmente para recopilar información privada, como credenciales de inicio de sesión, datos financieros, información personal y propiedad intelectual. Los atacantes pueden monitorear silenciosamente las actividades de los usuarios, capturar pulsaciones de teclas y acceder a archivos, lo que genera posibles violaciones de datos y espionaje corporativo.
  • Vigilancia e invasión de la privacidad : una vez que se implementa una RAT, los atacantes pueden activar la cámara web y el micrófono de la víctima sin su conocimiento, lo que lleva a una vigilancia no autorizada. Esta violación de la privacidad puede tener consecuencias significativas para individuos y organizaciones.
  • Propagación y movimiento lateral : las RAT a menudo tienen la capacidad de autorreplicarse y propagarse dentro de una red, lo que permite a los atacantes moverse lateralmente a través de la infraestructura de una organización. Esto puede resultar en el compromiso de múltiples sistemas y la escalada de la amenaza general a la seguridad.
  • Pérdidas financieras y fraude : los RAT con capacidades para el fraude bancario pueden apuntar a instituciones y usuarios financieros, lo que lleva a transacciones no autorizadas, robo de fondos y otras pérdidas financieras. Las plataformas de comercio de criptomonedas también son objetivos vulnerables para los atacantes que buscan ganancias financieras.
  • Interrupción de los servicios : los atacantes pueden utilizar RAT para interrumpir los servicios modificando o eliminando archivos críticos, alterando las configuraciones del sistema o lanzando ataques de denegación de servicio. Esto puede provocar tiempos de inactividad, pérdidas financieras y daños a la reputación de una organización.
  • Persistencia y dificultad de detección : las RAT están diseñadas para mantener la persistencia en los sistemas comprometidos, lo que dificulta su detección y eliminación. Pueden utilizar diversas técnicas de evasión para eludir las medidas de seguridad, lo que dificulta que las soluciones antivirus tradicionales identifiquen y mitiguen la amenaza.
  • Espionaje geopolítico y corporativo : los actores patrocinados por el Estado y los grupos de espionaje corporativo pueden utilizar RAT con fines estratégicos para obtener acceso a información confidencial, propiedad intelectual o datos clasificados. Esto puede tener resultados de gran alcance para la seguridad nacional y las organizaciones afectadas.

Para mitigar los riesgos asociados con las amenazas RAT, las organizaciones y los individuos deben emplear medidas sólidas de ciberseguridad, incluidas auditorías de seguridad periódicas, monitoreo de red, protección de terminales y capacitación de concientización del usuario para reconocer y evitar ataques de phishing.

Tendencias

El Hacker del Grupo Kryogeniks que Fue Encargado de...

Computer Security
Christopher Allen Lewis, un hacker que forma parte de un grupo que invade los teléfonos, llamado Kryogeniks, se declaró culpable de ter desconectado el sitio de Comcast en Mayo de 2008 Lewis se enfrenta a una acusación que podría acabar haciéndole ser encarcelado por cinco años y pagar una multa de 250.000 dólares despuésde su declaración de culpabilidad de un cargo de conspiración para dañar...

Mas Visto

Cargando...