RAT visa bancos e corretoras de criptomoedas mexicanos
26 de Janeiro de 2024

Um operador de ameaças com motivação financeira tem como alvo bancos mexicanos e corretoras de criptomoedas, usando uma versão modificada do trojan de acesso remoto conhecido como AllaKore RAT, para roubar "credenciais bancárias e informações únicas de autenticação", relatam os pesquisadores da BlackBerry.

Segundo a empresa, os operadores de ameaças têm visado de forma persistente as organizações mexicanas há mais de dois anos e não mostram sinais de que vão parar.

O alvo são empresas mexicanas com receita anual superior a 100 milhões de dólares.

O relatório apresenta várias evidências para concluir que os invasores parecem estar mais interessados em grandes empresas e provavelmente estão baseados na América Latina.

As iscas usadas por eles "só funcionam para empresas grandes o suficiente para se reportar diretamente ao IMSS (Instituto Mexicano de Seguro Social)".

A suspeita de que os ataques sejam originários de algum lugar na América Latina vem do grande número de IPs Starlink do México usados na campanha e da duração desses vínculos, além da inclusão de instruções em espanhol na payload do RAT modificado, segundo o relatório.

"As iscas para descarregar o AllaKore RAT são enviadas por meio de ataques de spear phishing ou drive-by (quando o navegador do usuário é explorado durante a navegação) em que um site contaminado envia silenciosamente um código a um visitante", disse a BlackBerry.

O AllaKore RAT é uma ferramenta de acesso remoto de código aberto.

Foi visto anteriormente em ataques de espionagem contra alvos na Índia.

Embora seja um pouco básico, conforme os pesquisadores da BlackBerry, ele tem "a poderosa capacidade de registrar teclas digitadas, capturar tela, fazer upload/download de arquivos e até mesmo assumir o controle remoto" da máquina da vítima.

"A segmentação é indiferente à indústria, pois vemos organizações-alvo em setores de varejo, agricultura, serviços públicos, manufatura, transporte, serviços comerciais, bens de capital e bancos", disse a BlackBerry.

O relatório sugere uma possível conexão com o FIN7, um grupo cibercriminoso com motivação financeira, investigado pela Mandiant no final de 2021, época em que a atual campanha parece ter se iniciado.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...