Groupe de piratage Greedy Sponge
Les organisations mexicaines continuent de subir des cyberattaques menées par un groupe à motivation financière connu sous le nom de Greedy Sponge, qui exploite des variantes modifiées des RAT AllaKore et SystemBC. Active depuis début 2021, cette campagne cible sans discernement des secteurs allant du commerce de détail, de l'agriculture et du divertissement à l'industrie manufacturière, aux transports, aux services publics, aux biens d'équipement et à la banque.
Table des matières
AllaKore RAT : un outil de lutte contre la fraude financière
La charge utile principale, AllaKore RAT , a été profondément modifiée pour capturer des données financières sensibles. Le malware est programmé pour exfiltrer les identifiants bancaires et les informations d'authentification uniques vers un serveur de commande et de contrôle (C2), permettant ainsi une fraude financière à grande échelle. Les premiers rapports sur cette campagne ont fait surface en janvier 2024, révélant que les attaquants s'appuient sur le phishing et les attaques par intrusion pour diffuser des archives ZIP malveillantes conçues pour déployer AllaKore RAT.
Les chercheurs ont observé qu'AllaKore RAT est souvent utilisé pour diffuser SystemBC , un malware basé sur C qui convertit les machines Windows compromises en proxys SOCKS5, fournissant aux attaquants un tunnel de communication sécurisé vers leur infrastructure C2.
Artisanat raffiné et tactiques de géorepérage
Greedy Sponge a fait évoluer ses tactiques. Mi-2024, le groupe a introduit des techniques de géorepérage améliorées visant à contrecarrer les analyses externes. Auparavant, les contrôles de géorepérage étaient intégrés à un téléchargeur .NET au sein d'un fichier d'installation Microsoft (MSI) infecté par un cheval de Troie. Désormais, la restriction a été déplacée côté serveur, garantissant que seules les victimes situées dans la région mexicaine ciblée reçoivent la charge utile finale.
Chaîne d’attaque actuelle et livraison de la charge utile
Les dernières séquences d'attaque restent cohérentes avec les campagnes précédentes. Des fichiers ZIP malveillants, tels que « Actualiza_Policy_v01.zip », contiennent à la fois un exécutable proxy Chrome légitime et un installateur MSI infecté par un cheval de Troie. Ce MSI est conçu pour neutraliser le RAT AllaKore, qui inclut des fonctionnalités telles que :
- Enregistrement de frappe, capture d'écran et contrôle à distance des systèmes infectés
- Téléchargement et chargement de fichiers vers et depuis l'infrastructure de l'attaquant
Pour faciliter l'infection, le MSI déploie également un téléchargeur .NET, qui récupère le RAT à partir d'un serveur externe (manzisuape.com/amw), ainsi qu'un script PowerShell conçu pour effectuer des opérations de nettoyage.
Ciblage régional au-delà du Mexique
Si le Mexique reste la cible principale, des variantes du RAT AllaKore ont également été utilisées en Amérique latine. En mai 2024, une variante connue sous le nom d'AllaSenha (alias CarnavalHeist) a notamment été observée ciblant des institutions bancaires brésiliennes, gérées par des acteurs malveillants originaires du Brésil.
L’éponge gourmande : persistante mais pas sophistiquée
Malgré sa persistance opérationnelle depuis quatre ans, les experts considèrent Greedy Sponge comme efficace, mais peu avancé. Son étroitesse d'action géographique et sa quête exclusive de profits financiers le distinguent de ses adversaires plus sophistiqués. Leurs modèles d'infrastructure inchangés et leur succès à long terme indiquent que leur approche actuelle a été systématiquement efficace, réduisant ainsi la nécessité de changements opérationnels importants.
