Gruppo di hacker Greedy Sponge
Le organizzazioni messicane continuano a subire attacchi informatici da parte di un gruppo motivato finanziariamente noto come Greedy Sponge, che sfrutta varianti modificate di AllaKore RAT e SystemBC. Attiva dall'inizio del 2021, questa campagna sceglie indiscriminatamente i propri obiettivi, colpendo settori che spaziano dalla vendita al dettaglio, all'agricoltura e all'intrattenimento, fino alla produzione, ai trasporti, ai servizi pubblici, ai beni strumentali e al settore bancario.
Sommario
AllaKore RAT: uno strumento per le frodi finanziarie
Il payload principale, AllaKore RAT , è stato ampiamente modificato per catturare dati finanziari sensibili. Il malware è programmato per esfiltrare credenziali bancarie e dettagli di autenticazione univoci su un server di comando e controllo (C2), consentendo frodi finanziarie su larga scala. Le prime segnalazioni di questa campagna sono emerse a gennaio 2024, rivelando che gli aggressori si affidano a phishing e compromissioni drive-by per diffondere archivi ZIP dannosi progettati per implementare AllaKore RAT.
I ricercatori hanno osservato che AllaKore RAT viene spesso utilizzato per distribuire SystemBC , un malware basato su C che converte le macchine Windows compromesse in proxy SOCKS5, fornendo agli aggressori un tunnel di comunicazione sicuro verso la loro infrastruttura C2.
Tecniche di commercio e tattiche di geofencing raffinate
Greedy Sponge ha evoluto le sue tattiche. Entro la metà del 2024, il gruppo ha introdotto tecniche di geofencing avanzate volte a ostacolare le analisi esterne. In precedenza, i controlli di geofencing erano integrati in un downloader .NET all'interno di un file di installazione Microsoft (MSI) trojanizzato. Ora, la restrizione è stata spostata sul lato server, garantendo che solo le vittime all'interno della regione messicana presa di mira ricevano il payload finale.
Catena di attacco attuale e consegna del carico utile
Le sequenze di attacco più recenti rimangono coerenti con le campagne precedenti. I file ZIP dannosi, come "Actualiza_Policy_v01.zip", contengono sia un eseguibile proxy Chrome legittimo sia un programma di installazione MSI trojanizzato. Questo MSI è progettato per eliminare il RAT di AllaKore, che include funzionalità come:
- Keylogging, cattura di screenshot e controllo remoto dei sistemi infetti
- Caricamento e scaricamento di file da e verso l'infrastruttura dell'attaccante
Per facilitare l'infezione, l'MSI distribuisce anche un downloader .NET, che recupera il RAT da un server esterno (manzisuape.com/amw), insieme a uno script PowerShell progettato per eseguire operazioni di pulizia.
Targeting regionale oltre il Messico
Sebbene il Messico rimanga l'obiettivo principale, le varianti RAT di AllaKore sono state utilizzate anche in America Latina. In particolare, nel maggio 2024, è stata osservata una variante nota come AllaSenha (nota anche come CarnavalHeist) che prendeva di mira istituti bancari brasiliani, gestiti da autori di minacce nativi del Brasile.
Greedy Sponge: persistente ma non sofisticato
Nonostante la sua persistenza operativa di oltre quattro anni, gli esperti classificano Greedy Sponge come efficace ma non particolarmente avanzato. La ristretta focalizzazione geografica del gruppo e la sua esclusiva ricerca di profitto finanziario lo distinguono da avversari più sofisticati. I suoi modelli infrastrutturali invariati e il successo a lungo termine indicano che il suo approccio attuale si è rivelato costantemente efficace, riducendo la necessità di significativi cambiamenti operativi.
