AllaKore RAT

Une campagne de spear phishing cible les institutions financières mexicaines, utilisant une variante modifiée d'AllaKore RAT, un cheval de Troie d'accès à distance open source. La campagne est liée à un acteur menaçant non identifié motivé par des raisons financières et basé en Amérique latine. Cette activité menaçante se poursuit depuis au moins 2021. Les tactiques de phishing consistent à utiliser des conventions de dénomination associées à l'Institut mexicain de sécurité sociale (IMSS) et à fournir des liens vers des documents apparemment légitimes pendant la phase d'installation. La charge utile AllaKore RAT utilisée dans l'opération d'attaque a subi des modifications substantielles, permettant aux acteurs malveillants de transmettre des informations d'identification bancaires volées et des détails d'authentification uniques à un serveur de commande et de contrôle (C2), facilitant ainsi la fraude financière.

Les cybercriminels ciblent les grandes entreprises avec le RAT AllaKore

Les attaques semblent se concentrer spécifiquement sur les grandes entreprises dont les revenus annuels dépassent 100 millions de dollars. Les entités ciblées couvrent divers secteurs, notamment la vente au détail, l'agriculture, le secteur public, l'industrie manufacturière, les transports, les services commerciaux, les biens d'équipement et la banque.

L'infection se produit avec un fichier ZIP distribué via un phishing ou une compromission drive-by. Ce fichier ZIP contient un programme d'installation MSI chargé de déployer un téléchargeur .NET. Les tâches principales du téléchargeur incluent la confirmation de la géolocalisation mexicaine de la victime et la récupération du RAT AllaKore modifié. Le RAT AllaKore, initialement identifié en 2015 comme un RAT basé sur Delphi, peut sembler quelque peu basique mais possède de puissantes fonctionnalités telles que l'enregistrement au clavier, la capture d'écran, le téléchargement/téléchargement de fichiers et même le contrôle à distance du système concerné.

L'AllaKore RAT a été équipé de fonctionnalités menaçantes supplémentaires

L'acteur malveillant a amélioré le logiciel malveillant avec de nouvelles fonctionnalités principalement axées sur la fraude bancaire, ciblant spécifiquement les banques mexicaines et les plateformes de trading de crypto-monnaies. Les fonctionnalités ajoutées incluent la possibilité de lancer des commandes pour lancer un shell inversé, extraire le contenu du presse-papiers et le récupérer, ainsi que d'exécuter des charges utiles supplémentaires.

Le lien de l’acteur menaçant avec l’Amérique latine est évident à travers l’utilisation des adresses IP Starlink du Mexique dans la campagne. De plus, la charge utile RAT modifiée comprend des instructions en espagnol. Les leurres de phishing sont notamment adaptés aux entreprises de taille importante qui relèvent directement du département de l'Institut mexicain de sécurité sociale (IMSS).

Cet acteur menaçant persistant oriente systématiquement ses efforts vers des entités mexicaines dans le but de les exploiter financièrement. Cette activité nuisible dure depuis plus de deux ans et ne montre aucun signe de cessation.

Les menaces RAT peuvent entraîner de graves conséquences pour les victimes

Les chevaux de Troie d'accès à distance (RAT) présentent des dangers importants car ils fournissent un accès non autorisé et un contrôle sur l'ordinateur ou le réseau d'une victime à des acteurs malveillants. Voici quelques dangers clés associés aux menaces RAT :

• Accès et contrôle non autorisés : les RAT permettent aux attaquants de prendre le contrôle à distance d'un système compromis. Ce niveau d'accès leur permet d'exécuter des commandes, de manipuler des fichiers, d'installer et de désinstaller des logiciels et, essentiellement, de contrôler l'ordinateur de la victime comme si elle était physiquement présente.
• Vol de données et espionnage : les RAT sont couramment utilisés pour collecter des informations privées, telles que des identifiants de connexion, des données financières, des informations personnelles et de la propriété intellectuelle. Les attaquants peuvent surveiller silencieusement les activités des utilisateurs, capturer les frappes au clavier et accéder aux fichiers, ce qui peut entraîner des violations de données et de l'espionnage industriel.
• Surveillance et atteinte à la vie privée : une fois qu'un RAT est déployé, les attaquants peuvent activer la webcam et le microphone de la victime à leur insu, conduisant à une surveillance non autorisée. Cette violation de la vie privée peut avoir des conséquences importantes pour les individus et les organisations.
• Propagation et mouvement latéral : les RAT ont souvent la capacité de s'auto-répliquer et de se propager au sein d'un réseau, permettant aux attaquants de se déplacer latéralement à travers l'infrastructure d'une organisation. Cela peut entraîner la compromission de plusieurs systèmes et l’escalade de la menace globale pour la sécurité.
• Perte financière et fraude : les RAT dotés de capacités de fraude bancaire peuvent cibler les institutions financières et les utilisateurs, entraînant des transactions non autorisées, des vols de fonds et d'autres pertes financières. Les plateformes de trading de cryptomonnaies sont également des cibles vulnérables pour les attaquants à la recherche de gains financiers.
• Perturbation des services : les attaquants peuvent utiliser des RAT pour perturber les services en modifiant ou en supprimant des fichiers critiques, en modifiant les configurations du système ou en lançant des attaques par déni de service. Cela peut entraîner des temps d'arrêt, des pertes financières et nuire à la réputation d'une organisation.
• Persistance et difficulté de détection : les RAT sont conçus pour maintenir la persistance sur les systèmes compromis, ce qui les rend difficiles à détecter et à supprimer. Ils peuvent utiliser diverses techniques d'évasion pour contourner les mesures de sécurité, ce qui rend difficile pour les solutions antivirus traditionnelles d'identifier et d'atténuer la menace.
• Espionnage géopolitique et d'entreprise : les acteurs parrainés par l'État et les groupes d'espionnage d'entreprise peuvent utiliser les RAT à des fins stratégiques pour obtenir l'accès à des informations sensibles, à la propriété intellectuelle ou à des données classifiées. Cela peut avoir des conséquences considérables pour la sécurité nationale et les organisations concernées.

Pour atténuer les risques associés aux menaces RAT, les organisations et les individus doivent recourir à des mesures de cybersécurité robustes, notamment des audits de sécurité réguliers, une surveillance du réseau, une protection des points finaux et une formation de sensibilisation des utilisateurs pour reconnaître et éviter les attaques de phishing.