Mexikói pénzintézetek kerültek egy új spear phishing kampány célkeresztjébe, amely során az “AllaKore RAT” nevű, nyílt forráskódú távoli hozzáférésű trójai módosított változatát használják.
A csali a Mexican Social Security Institute (IMSS) nevét és arculati elemeit és legitim dokumentumokra mutató linkeket használ. Az AllaKore RAT payload-ja erősen módosított, a támadók az ellopott banki hitelesítő adatokat és egyedi hitelesítési információkat egy C2 szerverre küldik.
A támadások célpontjai főképp a 100 millió dollár feletti bruttó bevétellel rendelkező nagyvállalatok. A célpontok a kiskereskedelem, a mezőgazdaság, a közszféra, a gyártás, a szállítás, a kereskedelmi szolgáltatások, a beruházási és a banki szektorok területére terjednek ki.
A fertőzési lánc egy ZIP fájllal kezdődik, amelyet vagy adathalászaton vagy drive-by kompromittáláson keresztül terjesztenek. A benne lévő MSI telepítőfájl egy .NET letöltőprogramot droppol, amely az áldozat mexikói földrajzi helyének megerősítése után a módosított AllaKore RAT letöltéséért felelős.
Az AllaKore RAT képes a billentyűzet leütések rögzítésére, képernyőfelvételek készítésére, fájlok feltöltésére/letöltésére, sőt az áldozat gépe feletti távoli irányítás átvételére. A kártevőhöz hozzáadott új funkciók közé tartozik a banki csalással kapcsolatos parancsok támogatása, a mexikói bankok és kriptokereskedelmi platformok megcélzása, a reverse shell elindítása, a vágólap tartalmának kinyerése, valamint további payload-ok lekérése és végrehajtása.