BlackBerry met en garde les banques mexicaines et les entreprises de crypto-monnaies contre une menace potentielle pour la sécurité

David Pokima

Dernière mise à jour :

25 janvier 2024 04 :27 EST | Temps de lecture : 2 min

Source : Dalle-EBlackBerry a signalé une menace potentielle pour les banques mexicaines et les plateformes de crypto-monnaie basée sur la tentative de pirates informatiques de fournir une version moderne d’Allakore RAT.

Dans un rapport publié le 24 janvier, l’équipe de recherche et de renseignement de BlackBerry a fait part de ses inquiétudes au sujet d’un acteur malveillant ciblant les institutions financières avec Allakore RAT modifié pour permettre aux pirates d’envoyer des coordonnées bancaires volées et d’autres composants clés au centre de commandement pour le cybervol.

Selon le rapport, les acteurs malveillants recherchent de grandes entreprises dont le chiffre d’affaires est supérieur à 100 millions de dollars, car les leurres signalés par l’équipe de recherche ont été envoyés à des entreprises qui relèvent directement de l’Institut de sécurité sociale de Mercie (IMSS).

La raison pour laquelle les grandes entreprises sont ciblées directement dans le cadre du MSSI est d’abord les incitations financières, car ces entreprises valent plus et, deuxièmement, les leurres déployés utilisent les liens IMSS et les schémas de nommage pour créer des documents légitimes et inoffensifs au cours du processus.

« *La charge utile RAT d’AllaKore est fortement modifiée pour permettre aux acteurs de la menace d’envoyer des informations d’identification bancaires volées et des informations d’authentification uniques à un serveur de commande et de contrôle (C2) à des fins de fraude financière. » *

Escrocs basés en Amérique latine

L’équipe a également réduit le nombre d’acteurs malveillants qui représentaient la menace d’être basés dans des pays d’Amérique latine en raison de l’utilisation d’instructions de transmission en langue espagnole dans la charge utile modifiée.

Le grand nombre d’adresses IP mexicaines de Starlink, ainsi que le calendrier du processus, confirment également les affirmations de leur équipe de recherche selon lesquelles des acteurs malveillants sont basés dans la région de l’Amérique latine.

« *Cet auteur de menace cible spécifiquement les entités mexicaines, en particulier les grandes entreprises dont les revenus bruts sont supérieurs à 100 millions de dollars américains. Tous les leurres ont utilisé des ressources légitimes et bénignes du gouvernement mexicain, telles que le document de mise à jour du logiciel IDSE « guia_de_soluciones_idse.pdf » et le paiement IMSS SIPARE », peut-on lire dans le rapport.

Selon le rapport, le ciblage est large et pas seulement dans les services financiers, car des détails ont été publiés sur les entreprises des secteurs de la fabrication, de l’agriculture, des biens d’équipement, des banques, des services commerciaux, de la vente au détail, des transports et du secteur public.

Cependant, les fonctions de nommage dans le RAT pointent vers un courtier en crypto-monnaie mexicain et six banques domiciliées dans le pays, car le chargeur .NET spécifie la géolocalisation avec plusieurs services avant de déployer RAT.

Liens avec un acteur malveillant similaire

Avant la sortie de BlackBerry, les mêmes acteurs malveillants avaient ciblé des entreprises dès décembre 2021, comme l’a rapporté Mandiant à propos d’une menace de cybersécurité axée sur le Mexique.

Les analystes de la société suggèrent que les mauvais acteurs dans ces scénarios sont similaires, car seuls deux acteurs financiers limitent leurs victimes à un seul pays pendant des années et le suivi de 14 entreprises s’est déroulé sur 12 mois.

Les utilisateurs ont déploré la vitesse à laquelle les acteurs de la menace ciblent les entreprises de crypto-monnaie dans le but d’effacer des millions de projets.

Cette semaine, des escrocs ont envoyé des liens d’hameçonnage malveillants ciblant plusieurs entreprises du Web3 annonçant de faux airdrops à des utilisateurs drainant 3,3 millions de dollars d’actifs.

Suivez-nous sur Google Actualités