Grup de pirateig d'esponges voraços
Les organitzacions mexicanes continuen enfrontant-se a ciberatacs d'un grup amb motivacions financeres conegut com a Greedy Sponge, que aprofita variants modificades d'AllaKore RAT i SystemBC. Activa des de principis del 2021, aquesta campanya és indiscriminada en la seva elecció d'objectius, i afecta indústries que van des del comerç minorista, l'agricultura i l'entreteniment fins a la indústria manufacturera, el transport, els serveis públics, els béns de capital i la banca.
Taula de continguts
AllaKore RAT: Una eina per al frau financer
La càrrega útil principal, AllaKore RAT , ha estat modificada àmpliament per capturar dades financeres sensibles. El programari maliciós està programat per exfiltrar credencials bancàries i detalls d'autenticació únics a un servidor de comandament i control (C2), permetent fraus financers a gran escala. Els informes d'aquesta campanya van aparèixer per primera vegada el gener de 2024, revelant que els atacants es basen en phishing i compromisos drive-by per difondre arxius ZIP maliciosos dissenyats per implementar AllaKore RAT.
Els investigadors han observat que AllaKore RAT s'utilitza sovint per lliurar SystemBC , un programari maliciós basat en C que converteix màquines Windows compromeses en proxies SOCKS5, proporcionant als atacants un túnel de comunicació segur a la seva infraestructura C2.
Tàctiques refinades de Tradecraft i Geofencing
Greedy Sponge ha anat evolucionant les seves tàctiques. A mitjans del 2024, el grup va introduir tècniques de geofencing millorades destinades a frustrar l'anàlisi externa. Anteriorment, les comprovacions de geofencing s'integraven en un descarregador .NET dins d'un fitxer d'instal·lació de Microsoft (MSI) troià. Ara, la restricció s'ha traslladat al costat del servidor, garantint que només les víctimes de la regió mexicana objectiu rebin la càrrega útil final.
Cadena d’atac actual i lliurament de càrrega útil
Les últimes seqüències d'atac es mantenen coherents amb campanyes anteriors. Els fitxers ZIP maliciosos, com ara "Actualiza_Policy_v01.zip", contenen un executable legítim de proxy de Chrome i un instal·lador MSI troià. Aquest MSI està dissenyat per eliminar AllaKore RAT, que inclou capacitats com ara:
- Registre de teclats, captura de captures de pantalla i control remot de sistemes infectats
- Pujar i descarregar fitxers des de i cap a la infraestructura de l'atacant
Per facilitar la infecció, l'MSI també implementa un descarregador de .NET, que obté el RAT d'un servidor extern (manzisuape.com/amw), juntament amb un script de PowerShell dissenyat per realitzar operacions de neteja.
Segmentació regional més enllà de Mèxic
Tot i que Mèxic continua sent l'objectiu principal, les variants d'AllaKore RAT també s'han utilitzat a tota l'Amèrica Llatina. Cal destacar que, al maig de 2024, es va observar una variant coneguda com AllaSenha (també coneguda com a CarnavalHeist) dirigida contra institucions bancàries brasileres, operades per actors d'amenaces nadius del Brasil.
Esponja voraç: persistent però no sofisticada
Malgrat la seva persistència operativa durant quatre anys, els experts classifiquen Greedy Sponge com a eficaç però no gaire avançada. L'enfocament geogràfic estret del grup i la seva recerca exclusiva de guanys financers el distingeixen d'adversaris més sofisticats. Els seus models d'infraestructura inalterats i l'èxit a llarg termini indiquen que el seu enfocament actual ha estat constantment eficaç, reduint la necessitat de canvis operatius significatius.
