Grupo de hackers Greedy Sponge
Organizações mexicanas continuam enfrentando ataques cibernéticos de um grupo com motivações financeiras conhecido como Greedy Sponge, que utiliza variantes modificadas do AllaKore RAT e do SystemBC. Ativa desde o início de 2021, essa campanha é indiscriminada na escolha de alvos, impactando setores que vão do varejo, agricultura e entretenimento à indústria, transporte, serviços públicos, bens de capital e bancos.
Índice
AllaKore RAT: Uma ferramenta para fraude financeira
O payload principal, AllaKore RAT , foi amplamente alterado para capturar dados financeiros confidenciais. O malware é programado para exfiltrar credenciais bancárias e detalhes de autenticação exclusivos para um servidor de Comando e Controle (C2), possibilitando fraudes financeiras em larga escala. Relatos dessa campanha surgiram pela primeira vez em janeiro de 2024, revelando que os invasores utilizam phishing e ataques drive-by para disseminar arquivos ZIP maliciosos projetados para implantar o AllaKore RAT.
Pesquisadores observaram que o AllaKore RAT é frequentemente usado para entregar o SystemBC , um malware baseado em C que converte máquinas Windows comprometidas em proxies SOCKS5, fornecendo aos invasores um túnel de comunicação seguro para sua infraestrutura C2.
Técnicas Refinadas de Tradecraft e Táticas de Geofencing
O Greedy Sponge vem aprimorando suas táticas. Em meados de 2024, o grupo introduziu técnicas aprimoradas de geofencing com o objetivo de impedir análises externas. Anteriormente, as verificações de geofencing eram incorporadas a um downloader .NET dentro de um arquivo instalador Microsoft (MSI) trojanizado. Agora, a restrição foi movida para o lado do servidor, garantindo que apenas vítimas dentro da região mexicana alvo recebam o payload final.
Cadeia de Ataque Atual e Entrega de Carga Útil
As sequências de ataque mais recentes permanecem consistentes com campanhas anteriores. Arquivos ZIP maliciosos, como "Actualiza_Policy_v01.zip", contêm um executável de proxy legítimo do Chrome e um instalador MSI trojanizado. Este MSI foi projetado para remover o AllaKore RAT, que inclui recursos como:
- Keylogging, captura de tela e controle remoto de sistemas infectados
- Carregar e baixar arquivos de e para a infraestrutura do invasor
Para facilitar a infecção, o MSI também implanta um downloader .NET, que busca o RAT de um servidor externo (manzisuape.com/amw), juntamente com um script do PowerShell projetado para executar operações de limpeza.
Segmentação regional além do México
Embora o México continue sendo o alvo principal, variantes do AllaKore RAT também têm sido usadas na América Latina. Notavelmente, em maio de 2024, uma variante conhecida como AllaSenha (também conhecida como CarnavalHeist) foi observada tendo como alvo instituições bancárias brasileiras, operadas por agentes de ameaças nativos do Brasil.
Esponja gananciosa: persistente, mas não sofisticada
Apesar de sua persistência operacional ao longo de quatro anos, especialistas classificam o Greedy Sponge como eficaz, mas não muito avançado. O foco geográfico restrito do grupo e sua busca exclusiva por ganhos financeiros o distinguem de adversários mais sofisticados. Seus modelos de infraestrutura inalterados e seu sucesso a longo prazo indicam que sua abordagem atual tem sido consistentemente eficaz, reduzindo a necessidade de mudanças operacionais significativas.
