AllaKore RAT Kötü Amaçlı Yazılım Meksikalı Firmaları Finansal Dolandırıcılık Hileleriyle Hedef Alıyor
Meksikalı finans kurumları, AllaKore RAT adlı açık kaynaklı bir uzaktan erişim truva atının değiştirilmiş bir sürümünü sunan yeni bir hedef odaklı kimlik avı kampanyasının radarı altında.
BlackBerry Araştırma ve İstihbarat Ekibi, faaliyeti bilinmeyen Latin Amerika merkezli finansal olarak motive edilmiş bir tehdit aktörüne bağladı. Kampanya en az 2021'den beri aktif.
Kanadalı şirket, bu haftanın başlarında yayınlanan bir analizde, "Lures, Meksika Sosyal Güvenlik Enstitüsü'nün (IMSS) adlandırma şemalarını ve kurulum işlemi sırasında meşru, iyi huylu belgelere bağlantılar kullanıyor" dedi.
"AllaKore RAT yükü, tehdit aktörlerinin çalınan bankacılık kimlik bilgilerini ve benzersiz kimlik doğrulama bilgilerini finansal dolandırıcılık amacıyla bir komuta ve kontrol (C2) sunucusuna geri göndermesine izin vermek için büyük ölçüde değiştirildi."
Saldırılar, özellikle brüt geliri 100 milyon doların üzerinde olan büyük şirketleri ayırmak için tasarlanmış gibi görünüyor. Hedeflenen kuruluşlar perakende, tarım, kamu sektörü, imalat, ulaşım, ticari hizmetler, sermaye malları ve bankacılık sektörlerini kapsamaktadır.
Enfeksiyon zinciri, kurbanın Meksika coğrafi konumunu doğrulamaktan ve ilk olarak 2015'te gözlemlenen Delphi tabanlı bir RAT olan değiştirilmiş AllaKore RAT dosyasını almaktan sorumlu bir .NET indiricisini bırakan bir MSI yükleyici dosyası içeren, kimlik avı veya güvenlik ihlali yoluyla dağıtılan bir ZIP dosyasıyla başlar.
BlackBerry, "AllaKore RAT, biraz basit olmasına rağmen, keylog, ekran yakalama, dosya yükleme / indirme ve hatta kurbanın makinesinin uzaktan kontrolünü ele geçirme konusunda güçlü bir yeteneğe sahip" dedi.
Tehdit aktörü tarafından kötü amaçlı yazılıma eklenen yeni işlevler arasında bankacılık dolandırıcılığı, Meksika bankalarını ve kripto ticaret platformlarını hedefleme, ters kabuk başlatma, pano içeriğini çıkarma ve ek yükler getirme ve yürütme ile ilgili komutlar için destek yer alıyor.
Tehdit aktörünün Latin Amerika ile bağlantıları, kampanyada kullanılan Meksika Starlink IP'lerinin kullanılmasının yanı sıra değiştirilmiş RAT yüküne İspanyolca talimatların eklenmesinden geliyor. Ayrıca, kullanılan yemler yalnızca doğrudan Meksika Sosyal Güvenlik Enstitüsü (IMSS) departmanına rapor verecek kadar büyük şirketler için çalışır.
Şirket, "Bu tehdit aktörü, finansal kazanç amacıyla sürekli olarak Meksikalı kuruluşları hedef alıyor" dedi. "Bu faaliyet iki yıldan fazla bir süredir devam ediyor ve durma belirtisi göstermiyor."
Bulgular, IOActive'in Lamassu Douro bitcoin ATM'lerinde (CVE-2024-0175, CVE-2024-0176 ve CVE-2024-0177) fiziksel erişimi olan bir saldırganın cihazların tam kontrolünü ele geçirmesine ve kullanıcı varlıklarını çalmasına izin verebilecek üç güvenlik açığı belirlediğini söylemesiyle geldi.
Saldırılar, ATM'nin yazılım güncelleme mekanizmasından ve cihazın kendi kötü amaçlı dosyalarını sağlamak ve rastgele kod yürütülmesini tetiklemek için QR kodlarını okuma yeteneğinden yararlanılarak mümkün olur. Sorunlar, İsviçreli şirket tarafından Ekim 2023'te düzeltildi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı