Los bancos e intercambios de criptomonedas son los principales objetivos de esta campaña maliciosa con fines de fraude financiero que utiliza la herramienta remota AllaKore RAT.
***
- Atención intercambios de criptomonedas mexicanos, los hackers están al acecho
- Informe advierte sobre campaña maliciosa dirigida en contra de entidades financieras en México
- Apunta a empresas de alto patrimonio, y utiliza archivos oficiales del gobierno como señuelo
Los piratas informáticos están al acecho de los bancos y las grandes empresas en México, incluidos los intercambios de criptomonedas.
Un nuevo informe de Blackberry, la empresa de tecnología que anteriormente dominaba el mercado de la telefonía celular, ha advertido sobre una campaña de ataques con motivación financiera que apunta a bancos y plataformas de criptomonedas mexicanas.
Los analistas de inteligencia de amenazas cibernéticas de BlackBerry detallaron que la campaña aprovecha una herramienta de acceso remoto de código abierto llamada AllaKore RAT y apunta a compañías de alto patrimonio con sede en México.
“Este actor de amenazas se dirige específicamente a entidades mexicanas, especialmente a grandes empresas con ingresos brutos superiores a los 100 millones de dólares estadounidenses“, escribieron, añadiendo más adelante que este grupo incluye a plataformas de comercio de criptomonedas. No mencionaron el nombre de ninguna empresa.
Utiliza documentos oficiales como señuelo
La amenaza tiene como objetivo instalar la herramienta maliciosa en computadoras y bases de datos administradas por la empresa con el objetivo de obtener datos bancarios y otros componentes clave con fines de robo financiero. El ataque se esconde en enlaces y documentos con nombres oficiales del gobierno para evitar sospechas de los empleados.
Esto explicaría –en parte– el motivo por el cual la campaña maliciosa se dirige a empresas de altos ingresos. Los investigadores dijeron que las empresas con ingresos elevados que son objetivo del ataque reportan directamente al Instituto Mexicano del Seguro Social (IMSS). Los señuelos desplegados utilizan enlaces de dicha entidad para crear documentos benignos que parecen legítimos en el proceso.
“Todos los señuelos han utilizado recursos legítimos y benignos del gobierno mexicano, como el documento de actualización del software IDSE “guia_de_soluciones_idse.pdf” y el sistema de pagos del IMSS SIPARE“, detallaron.
La carga útil AllaKore RAT está muy modificada para permitir que los actores de amenazas envíen credenciales bancarias robadas e información de autenticación única a un servidor de comando y control (C2) con fines de fraude financiero.
Los investigadores sospechan que los piratas informáticos a cargo de la campaña estarían localizados en América Latina. Algunas pistas que los llevaron a esta conclusión fueron el hecho de que los ataques se remontaron a direcciones IP de Starlink de México y el uso de instrucciones en español en la carga útil RAT modificada.
No solo apunta a exchanges de criptomonedas
México alberga una de los ecosistemas de criptomonedas más vibrantes de la región.
Uno de los mayores intercambios de activos digitales de América Latina tiene su sede central en México: Bitso. Con presencia en México, Colombia, Argentina y Brasil, la compañía destaca por haber alcanzado una valoración por encima de USD $2 mil millones, consolidándola como el primer y más grande unicornio de criptomonedas de Latinoamérica.
Sin embargo, el alcance de la amenaza no se limita a los grandes bancos y plataformas de comercio cripto. El equipo de Blackberry alertó que, más allá de los servicios financieros, la campaña también apunta a empresas de otros sectores, incluidos manufacturero, agrícola, de bienes de capital, bancario, de servicios comerciales, minorista, de transporte y del sector público.
Los investigadores agregaron que la amenaza no es nueva y que la misma metodología se ha estado utilizando “de manera constante desde 2021 y aún no se ha interrumpido“.
“Este actor de amenazas ha estado apuntando persistentemente a entidades mexicanas con el fin de obtener ganancias financieras. Esta actividad ha continuado durante más de dos años y no muestra signos de detenerse“, concluyeron a modo de advertencia.
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen editada de Unsplash
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.