RAT mira bancos e corretoras de criptomoedas mexicanos

Da Redação
26/01/2024

Um operador de ameaça com motivação financeira tem como alvo bancos mexicanos e corretoras de criptomoedas utilizando uma versão modificada do trojan de acesso remoto conhecido como AllaKore RAT para roubar “credenciais bancárias e informações de autenticação exclusivas”, relatam pesquisadores da BlackBerry. Segundo a empresa, os operadores da ameaça têm visado persistentemente organizações mexicanas há mais de dois anos e não dão sinais de que irão parar.

O alvo são companhias mexicanas com receita anual superior a US$ 100 milhões. O relatório apresenta diversas evidências para concluir que “os invasores parecem estar mais interessados em grandes empresas” e provavelmente estão baseados na América Latina. As iscas utilizadas por eles “só funcionam para empresas grandes o suficiente para se reportarem diretamente ao IMSS (Instituto Mexicano do Seguro Social)”.

A suspeita de que os ataques sejam provenienteds de algum lugar da América Latina decorre do grande número de IPs Starlink do México usados na campanha e do longo prazo dessas conexões, além da inclusão de instruções em espanhol à carga útil RAT modificada, segundo o relatório.

“As iscas para baixar o AllaKore RAT são enviadas por meio de ataques spear phishing ou drive-by (quando o navegador do usuário é explorado durante a navegação) nos quais um site contaminado envia silenciosamente um código a um visitante”, disse a BlackBerry.

O AllaKore RAT é uma ferramenta de acesso remoto de código aberto. Já foi visto anteriormente em ataques de espionagem contra alvos na Índia. Embora seja um tanto básico, segundo os pesquisadores da BlackBerry, ele tem “a potente capacidade de keylog, captura de tela, upload/download de arquivos e até mesmo assumir o controle remoto” da máquina da vítima.

“A segmentação é indiferente à indústria, pois verificamos organizações-alvo nos setores de varejo, agricultura, setor público, manufatura, transporte, serviços comerciais, bens de capital e bancos”, disse Blackberry.O relatório sugere uma possível ligação com o FIN7, um grupo cibercriminoso com motivação financeira detalhado por investigadores da Mandiant no final de 2021, época em que a campanha atual parece ter começado.

Compartilhar: