En la actualidad, la seguridad cibernética es un tema de constante evolución y preocupación. Una de las amenazas más recientes y alarmantes es el aumento del malware conocido como AllaKore Remote Access Trojan (RAT), que ha comenzado a centrar su atención en empresas mexicanas.
Impacto en México
Las instituciones financieras mexicanas están siendo objeto de una nueva campaña de phishing que promociona una versión alterada de un troyano de acceso remoto de código abierto llamado AllaKore RAT. Se ha atribuido esta actividad a un actor de amenazas desconocido con base en América Latina y con motivaciones financieras. La campaña ha estado operativa desde al menos 2021.
En un análisis reciente, se menciona que los señuelos utilizados en esta campaña hacen referencia al Instituto Mexicano del Seguro Social (IMSS) y contienen enlaces a documentos legítimos durante la fase de instalación. La variante modificada de AllaKore RAT ha sido adaptada para permitir que los atacantes envíen credenciales bancarias robadas y datos de autenticación a un servidor de comando y control (C2) con el propósito de cometer fraudes financieros.
Te podrá interesar leer: Desentrañando el Mundo de la Ciberseguridad C2
Estos ataques están dirigidos principalmente hacia grandes empresas con ingresos superiores a los 100 millones de dólares en diversos sectores, incluyendo retail, agricultura, sector público, manufactura, transporte, servicios comerciales, bienes de capital y banca.
El proceso de infección comienza con un archivo ZIP distribuido a través de phishing o un ataque drive-by. Este archivo contiene un instalador MSI que descarga un descargador .NET. El descargador es responsable de verificar la ubicación geográfica de la víctima en México y de recuperar el AllaKore RAT modificado, que es un RAT basado en Delphi observado por primera vez en 2015.
A pesar de su simplicidad, AllaKore RAT tiene la capacidad de registrar pulsaciones de teclado, capturar pantallas, transferir archivos y tomar control remoto de la máquina infectada, según informa BlackBerry.
El actor de amenazas ha añadido nuevas funciones al malware, como el soporte para comandos relacionados con el fraude bancario, el ataque a bancos mexicanos y plataformas de comercio de criptomonedas, la ejecución de un shell inverso, la extracción de datos del portapapeles y la ejecución de cargas útiles adicionales.
La vinculación del actor de amenazas con América Latina se evidencia mediante el uso de direcciones IP de Starlink de México y la inclusión de instrucciones en español en la carga útil RAT modificada. Además, los señuelos utilizados solo son efectivos en empresas lo suficientemente grandes como para estar directamente relacionadas con el Instituto Mexicano del Seguro Social (IMSS).
La compañía ha destacado que este actor de amenazas ha estado atacando persistentemente a entidades mexicanas con el objetivo de obtener beneficios financieros, y esta actividad ha continuado durante más de dos años sin mostrar indicios de detenerse.
Te podrá interesar: Ciberseguridad en México: Mantén tu Empresa Protegida
¿Cómo protegerse de AllaKore RAT y otros malware similares?
Para evitar ser víctima de AllaKore RAT y otros malware que se distribuyen mediante phishing, se recomienda seguir las siguientes medidas de precaución:
- No abrir ni descargar archivos adjuntos o enlaces sospechosos que provengan de remitentes desconocidos o que no se esperen.
- Verificar la identidad y la legitimidad de los remitentes de los correos electrónicos, y comprobar que la dirección de correo electrónico coincida con el nombre y el dominio del remitente.
- Prestar atención a los posibles errores ortográficos, gramaticales o de formato que puedan indicar que se trata de un correo electrónico fraudulento.
- Utilizar un antivirus actualizado y confiable que pueda detectar y bloquear el malware antes de que se ejecute en el dispositivo.
- Mantener el sistema operativo y las aplicaciones actualizadas con los últimos parches de seguridad, que pueden corregir vulnerabilidades que el malware pueda aprovechar.
- Realizar copias de seguridad periódicas de los datos importantes, para poder recuperarlos en caso de que el malware los dañe o los cifre.
- Utilizar contraseñas seguras y únicas para cada cuenta, y activar la autenticación de dos factores siempre que sea posible, para dificultar el acceso no autorizado a las cuentas.
- No compartir ni divulgar información personal o financiera por correo electrónico, teléfono o redes sociales, y verificar la autenticidad de los sitios web antes de introducir dicha información.
- Estar al tanto de las últimas noticias y alertas sobre ciberseguridad, y educarse sobre los riesgos y las mejores prácticas para protegerse de las amenazas.
Siguiendo estos consejos, se puede reducir el riesgo de caer en las trampas de los ciberdelincuentes y mantener los dispositivos y las cuentas a salvo de AllaKore RAT y otros malware.
Te podrá interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
Conclusión
El aumento de Allakore RAT en México es un recordatorio importante de la necesidad de mantener prácticas de seguridad cibernética sólidas y actualizadas. Tanto individuos como organizaciones deben estar conscientes de las amenazas y adoptar medidas proactivas para protegerse. La educación continua sobre los riesgos y las estrategias de prevención es vital para enfrentar este tipo de amenazas cibernéticas.