" Исследовательское и разведывательное подразделение Blackberry, технологического гиганта, ранее доминировавшего на рынке мобильных телефонов, выявило и предупредило о финансово мотивированном злоумышленнике, нацеленном на многочисленные состоятельные мексиканские криптовалютные биржи и банки.
В отчете Blackberry выявлена атака, целью которой была попытка украсть конфиденциальную пользовательскую информацию из банков и служб криптоторговли с использованием инструмента удаленного доступа с открытым исходным кодом под названием AllaKore RAT. Целью угрозы является установка инструмента на компьютеры и базы данных компании, часто в обход подозрений сотрудников, прячась за официальными схемами именования и ссылками.
«Полезная нагрузка AllaKore RAT сильно модифицирована, чтобы позволить злоумышленникам отправлять украденные банковские учетные данные и уникальную аутентификационную информацию обратно на сервер управления (C2) в целях финансового мошенничества», – говорится в отчете.
Характер угроз предполагает, что злоумышленники в основном нацелены на крупные компании с валовым доходом более 100 миллионов долларов. Такие компании подчиняются непосредственно Мексиканскому институту социального обеспечения (IMSS), отметили в Blackberry.
Подробности о злоумышленнике, атакующем мексиканский бизнес. Источник: Blackberry.
Большинство атак было отслежено на IP-адреса Starlink в Мексике. Кроме того, учитывая использование инструкций на испанском языке в модифицированной полезной нагрузке RAT, Blackberry пришла к выводу, что злоумышленник базируется в Латинской Америке.
Новые версии AllaKore RAT следуют более сложному процессу установки, при котором программное обеспечение доставляется к целевым объектам в файле установщика программного обеспечения Microsoft. Программное обеспечение запускается только после подтверждения Мексики в качестве текущего местоположения жертвы.
Однако масштабы угрозы не ограничиваются крупными банками и сервисами криптоторговли. Тот же метод используется для нападения на крупные мексиканские корпорации из других отраслей бизнеса, включая розничную торговлю, сельское хозяйство, государственный сектор, производство, транспорт, коммерческие услуги и средства производства.
Кибератаки, проводимые с помощью обычного фишинга, продолжают расти вместе с уровнем успешности кражи средств. 20 января контактная информация почти 66 000 пользователей производителя аппаратных кошельков Trezor была раскрыта в результате нарушения безопасности. Предупреждая пользователей, Trezor сказал:
«Мы хотим подчеркнуть, что ни один из средств наших пользователей не был скомпрометирован в результате этого инцидента. Ваше устройство Trezor сегодня остается таким же безопасным, как и вчера».
На момент составления отчета по меньшей мере 41 пользователь получил прямые электронные письма от злоумышленника с запросом конфиденциальной информации об их исходных данных для восстановления. Учитывая множество утечек данных в криптоэкосистеме, инвесторам рекомендуется воздерживаться от разглашения конфиденциальной информации.
