AllaKore RAT
A BlackBerry jelentése szerint egy pénzügyileg motivált fenyegető szereplő mexikói bankokat és kriptovaluta-kereskedelmi szervezeteket céloz meg egyedi telepítőcsomagokkal, amelyek az AllaKore RAT – egy nyílt forráskódú távoli hozzáférési eszköz – módosított változatát használják.
A csalétek a Mexikói Társadalombiztosítási Intézet (IMSS) elnevezési sémáit és a telepítési folyamat során legitim, jóindulatú dokumentumokra mutató linkeket használ. Az AllaKore RAT payload erősen módosított, hogy a fenyegető szereplők pénzügyi csalás céljából visszaküldhessék az ellopott banki hitelesítő adatokat és egyedi hitelesítési információkat egy parancs- és vezérlő (C2) szerverre.
Az BlackBerry által megfigyelt célpontok nem voltak iparágakhoz kötve; a támadók a jelek szerint leginkább a nagyvállalatok iránt érdeklődnek, sokan 100 millió USD feletti bruttó bevétellel. Ezt onnan tudják, hogy a fenyegető szereplők által kiküldött csalik csak olyan vállalatoknál működnek, amelyek elég nagyok ahhoz, hogy közvetlenül a mexikói kormány IMSS osztályának jelentsenek.
A kampányban használt mexikói Starlink IP-k nagy száma és e kapcsolatok hosszú időtartama, valamint a módosított RAT hasznos terhelés spanyol nyelvű utasításokkal való kiegészítése alapján úgy véljük, hogy a fenyegető szereplő székhelye Latin-Amerikában van.