Grupo de hackers Greedy Sponge
Las organizaciones mexicanas continúan enfrentándose a ciberataques de un grupo con motivaciones financieras conocido como Greedy Sponge, que utiliza variantes modificadas de AllaKore RAT y SystemBC. Activa desde principios de 2021, esta campaña selecciona objetivos de forma indiscriminada, impactando sectores que van desde el comercio minorista, la agricultura y el entretenimiento hasta la manufactura, el transporte, los servicios públicos, los bienes de capital y la banca.
Tabla de contenido
AllaKore RAT: Una herramienta para el fraude financiero
La carga útil principal, AllaKore RAT , ha sido ampliamente alterada para capturar datos financieros confidenciales. El malware está programado para extraer credenciales bancarias y datos de autenticación únicos a un servidor de Comando y Control (C2), lo que permite fraudes financieros a gran escala. Los primeros informes sobre esta campaña aparecieron en enero de 2024, revelando que los atacantes se basan en phishing y ataques drive-by para distribuir archivos ZIP maliciosos diseñados para implementar AllaKore RAT.
Los investigadores han observado que AllaKore RAT se utiliza a menudo para distribuir SystemBC , un malware basado en C que convierte las máquinas Windows comprometidas en servidores proxy SOCKS5, proporcionando a los atacantes un túnel de comunicación seguro a su infraestructura C2.
Técnicas refinadas de comercio y geofencing
Greedy Sponge ha estado evolucionando sus tácticas. A mediados de 2024, el grupo introdujo técnicas mejoradas de geofencing para frustrar el análisis externo. Anteriormente, las comprobaciones de geofencing se integraban en un descargador .NET dentro de un archivo de instalación de Microsoft (MSI) troyanizado. Ahora, la restricción se ha trasladado al servidor, lo que garantiza que solo las víctimas dentro de la región mexicana objetivo reciban la carga útil final.
Cadena de ataque actual y entrega de carga útil
Las últimas secuencias de ataque son consistentes con campañas anteriores. Archivos ZIP maliciosos, como 'Actualiza_Policy_v01.zip', contienen un ejecutable proxy legítimo de Chrome y un instalador MSI troyanizado. Este MSI está diseñado para instalar AllaKore RAT, que incluye funciones como:
- Registro de teclas, captura de pantalla y control remoto de sistemas infectados
- Cargar y descargar archivos hacia y desde la infraestructura del atacante
Para facilitar la infección, el MSI también implementa un descargador .NET, que obtiene la RAT de un servidor externo (manzisuape.com/amw), junto con un script de PowerShell diseñado para realizar operaciones de limpieza.
Segmentación regional más allá de México
Si bien México sigue siendo el objetivo principal, las variantes de AllaKore RAT también se han utilizado en Latinoamérica. Cabe destacar que, en mayo de 2024, se observó una variante conocida como AllaSenha (también conocida como CarnavalHeist) dirigida a instituciones bancarias brasileñas, operada por actores de amenazas nativos de Brasil.
Esponja codiciosa: persistente pero no sofisticada
A pesar de su persistencia operativa durante cuatro años, los expertos clasifican a Greedy Sponge como eficaz, aunque no muy avanzado. Su limitado enfoque geográfico y su búsqueda exclusiva de beneficios económicos lo distinguen de adversarios más sofisticados. Sus modelos de infraestructura, que se mantienen inalterados, y su éxito a largo plazo indican que su enfoque actual ha sido consistentemente eficaz, reduciendo la necesidad de cambios operativos significativos.
