Un reciente informe de BlackBerry ha destaca una preocupante amenaza financiera dirigida a bancos mexicanos y entidades de comercio de criptomonedas.
Un actor de amenazas con motivación financiera ha puesto en marcha una sofisticada campaña utilizando instaladores empaquetados personalizados para desplegar una versión modificada de AllaKore RAT, una herramienta de acceso remoto de código abierto.
Los atacantes han ideado señuelos ingeniosos, empleando esquemas de nombres del Instituto Mexicano del Seguro Social (IMSS) y enlaces a documentos legítimos durante el proceso de instalación. La carga útil modificada de AllaKore RAT permite a los malhechores enviar credenciales bancarias robadas e información de autenticación única a un servidor de comando y control (C2), con el propósito de llevar a cabo fraudes financieros.
Lo sorprendente de esta amenaza es su indiferencia hacia la industria en general. Los atacantes muestran un interés particular en las grandes empresas, muchas de las cuales tienen ingresos brutos superiores a los 100 millones de dólares. La focalización se ha vuelto más evidente, ya que los señuelos enviados solo funcionan para aquellas empresas lo suficientemente grandes como para reportar directamente al departamento del IMSS del gobierno mexicano.
El informe también revela pistas sobre la posible ubicación del actor de amenazas. La utilización masiva de direcciones IP de Starlink en México y el prolongado período de tiempo de estas conexiones, junto con la inclusión de instrucciones en español en la carga útil RAT modificada, sugieren que el actor podría tener su sede en América Latina. Esta revelación plantea una nueva dimensión a la complejidad de la amenaza y resalta la importancia de la ciberseguridad en la región.