El informe de Blackberry identificó un ataque que intentaba robar información sensible de usuarios de bancos y servicios de exchange de criptomonedas utilizando una herramienta de acceso remoto de código abierto llamada AllaKore RAT. La amenaza pretende instalar la herramienta en ordenadores y bases de datos gestionados por empresas, a menudo eludiendo las sospechas de los empleados al ocultarse tras esquemas de nombres y enlaces oficiales. El informe añade:
“La carga útil de AllaKore RAT está muy modificada para permitir a los actores de la amenaza enviar credenciales bancarias robadas e información de autenticación única a un servidor de comando y control (C2) con fines de fraude financiero.”
El patrón de amenazas sugiere que los atacantes se dirigen principalmente a grandes empresas con ingresos brutos superiores a USD 100 millones. Dichas empresas reportan directamente al Instituto Mexicano del Seguro Social (IMSS), señaló Blackberry.
La mayoría de los ataques fueron rastreados hasta direcciones IP de México Starlink. Además, considerando el uso de instrucciones en español en la carga útil modificada de RAT, Blackberry concluyó que el actor de la amenaza tiene su base en América Latina.
Las nuevas iteraciones de AllaKore RAT siguen un proceso de instalación más complejo, en el que el software se entrega a los objetivos en un archivo instalador de software de Microsoft. El software se ejecuta sólo después de confirmar que México es la ubicación actual de la víctima.
Sin embargo, el alcance de la amenaza no se limita a grandes bancos y servicios de comercio de criptomonedas. El mismo método se está utilizando para atacar a grandes empresas mexicanas de otros sectores empresariales, como el comercio minorista, la agricultura, el sector público, la industria manufacturera, el transporte, los servicios comerciales y los bienes de capital.
Los ciberataques realizados mediante phishing básico siguen aumentando junto con su tasa de éxito en el robo de fondos. El 20 de enero, la información de contacto de casi 66,000 usuarios del fabricante de monederos electrónicos Trezor se filtró en una brecha de seguridad. Trezor alertó a los usuarios:
“Queremos subrayar que ninguno de los fondos de nuestros usuarios se ha visto comprometido por este incidente. Tu dispositivo Trezor sigue siendo tan seguro hoy como lo era ayer.”
Al cierre de esta edición, al menos 41 usuarios habían recibido mensajes de correo electrónico directos del atacante solicitando información sensible sobre sus semillas de recuperación. Teniendo en cuenta la miríada de filtraciones de datos en todo el ecosistema de criptomonedas, se recomienda a los inversores que se abstengan de compartir información sensible a menos que se verifique.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión