AllaKore RAT Kötü Amaçlı Yazılım Meksikalı Firmaları Finansal Dolandırıcılık Hileleriyle Hedef Alıyor

BlackBerry Araştırma ve İstihbarat Ekibi, faaliyeti bilinmeyen Latin Amerika merkezli finansal olarak motive edilmiş bir tehdit aktörüne bağladı. Kampanya en az 2021'den beri aktif.

Kanadalı şirket, bu haftanın başlarında yayınlanan bir analizde, "Lures, Meksika Sosyal Güvenlik Enstitüsü'nün (IMSS) adlandırma şemalarını ve kurulum işlemi sırasında meşru, iyi huylu belgelere bağlantılar kullanıyor" dedi.

"AllaKore RAT yükü, tehdit aktörlerinin çalınan bankacılık kimlik bilgilerini ve benzersiz kimlik doğrulama bilgilerini finansal dolandırıcılık amacıyla bir komuta ve kontrol (C2) sunucusuna geri göndermesine izin vermek için büyük ölçüde değiştirildi."

Saldırılar, özellikle brüt geliri 100 milyon doların üzerinde olan büyük şirketleri ayırmak için tasarlanmış gibi görünüyor. Hedeflenen kuruluşlar perakende, tarım, kamu sektörü, imalat, ulaşım, ticari hizmetler, sermaye malları ve bankacılık sektörlerini kapsamaktadır.

Enfeksiyon zinciri, kurbanın Meksika coğrafi konumunu doğrulamaktan ve ilk olarak 2015'te gözlemlenen Delphi tabanlı bir RAT olan değiştirilmiş AllaKore RAT dosyasını almaktan sorumlu bir .NET indiricisini bırakan bir MSI yükleyici dosyası içeren, kimlik avı veya güvenlik ihlali yoluyla dağıtılan bir ZIP dosyasıyla başlar.

BlackBerry, "AllaKore RAT, biraz basit olmasına rağmen, keylog, ekran yakalama, dosya yükleme / indirme ve hatta kurbanın makinesinin uzaktan kontrolünü ele geçirme konusunda güçlü bir yeteneğe sahip" dedi.

Tehdit aktörü tarafından kötü amaçlı yazılıma eklenen yeni işlevler arasında bankacılık dolandırıcılığı, Meksika bankalarını ve kripto ticaret platformlarını hedefleme, ters kabuk başlatma, pano içeriğini çıkarma ve ek yükler getirme ve yürütme ile ilgili komutlar için destek yer alıyor.

Tehdit aktörünün Latin Amerika ile bağlantıları, kampanyada kullanılan Meksika Starlink IP'lerinin kullanılmasının yanı sıra değiştirilmiş RAT yüküne İspanyolca talimatların eklenmesinden geliyor. Ayrıca, kullanılan yemler yalnızca doğrudan Meksika Sosyal Güvenlik Enstitüsü (IMSS) departmanına rapor verecek kadar büyük şirketler için çalışır.

Şirket, "Bu tehdit aktörü, finansal kazanç amacıyla sürekli olarak Meksikalı kuruluşları hedef alıyor" dedi. "Bu faaliyet iki yıldan fazla bir süredir devam ediyor ve durma belirtisi göstermiyor."

Bulgular, IOActive'in Lamassu Douro bitcoin ATM'lerinde (CVE-2024-0175, CVE-2024-0176 ve CVE-2024-0177) fiziksel erişimi olan bir saldırganın cihazların tam kontrolünü ele geçirmesine ve kullanıcı varlıklarını çalmasına izin verebilecek üç güvenlik açığı belirlediğini söylemesiyle geldi.

Saldırılar, ATM'nin yazılım güncelleme mekanizmasından ve cihazın kendi kötü amaçlı dosyalarını sağlamak ve rastgele kod yürütülmesini tetiklemek için QR kodlarını okuma yeteneğinden yararlanılarak mümkün olur. Sorunlar, İsviçreli şirket tarafından Ekim 2023'te düzeltildi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği