Киберпреступники годами атакуют мексиканские организации через кампанию Greedy Sponge. С начала 2021 года эта финансовая группировка применяет модифицированный троян AllaKore RAT. Цель — кража банковских реквизитов и уникальных аутентификационных данных для прямого мошенничества. Цели хаотичны: розничная торговля, сельское хозяйство, госсектор, развлечения, производство, транспорт, услуги, банки.
Доступ получают через фишинг или drive-by компрометации. Жертвы загружают файлы вроде
В связке действует SystemBC — вторичная полезная нагрузка на языке C. Она превращает зараженные Windows-системы в прокси SOCKS5 для скрытой связи с командным сервером злоумышленников. К середине 2024 года Greedy Sponge усовершенствовал геофильтрацию. Если раньше она работала на стороне загрузчика внутри MSI, то теперь ограничение доступа к финальной нагрузке происходит сервер-сайд, что надежнее блокирует нецелевые регионы. Эксперты Arctic Wolf Labs подтверждают: группировка настойчива, технически не изощренна, но успешна благодаря узкой географической направленности и стабильной инфраструктуре.
Параллельно в мае 2024 года бразильские хакеры атаковали местные банки вариацией AllaKore — AllaSenha (CarnavalHeist). Активность зафиксировали HarfangLab и Cisco Talos.
В мае 2025 года eSentire обнаружила новую схему с криптером Ghost Crypt. Злоумышленники имитировали нового клиента. Жертве отправляли PDF со ссылкой на папку Zoho WorkDrive, содержащую вредоносные ZIP-файлы. Атакующий звонил, требуя немедленно открыть и запустить содержимое. Внутри — DLL, зашифрованная сервисом Ghost Crypt. Этот криптер-как-услуга (CaaS) появился 15 апреля 2025 года. Его создатель на киберфорумах хвастался обходом Microsoft Defender. Ghost Crypt расшифровывает и внедряет финальную нагрузку — троянец PureRAT — в легитимный процесс Windows
В последние месяцы активизировался Hijack Loader (IDAT Loader). По данным Splunk Threat Research Team, он распространяется через вредоносные инсталляторы Inno Setup. Их скрипты на Pascal скачивают и запускают финальную нагрузку — инфостилер RedLine, выкачивающий конфиденциальные данные.
Эти кампании демонстрируют четкие тренды: хищение учетных данных и удаленный доступ остаются главными целями. Мексика и Бразилия — ключевые регионы для атак на основе AllaKore. Злоумышленники постоянно развивают методы: внедряют серверную геофильтрацию, используют новые сервисы вроде Ghost Crypt и цепочки нагрузок. Доставка угроз разнообразна — от фишинга и троянизированных инсталляторов до злоупотребления легальными сервисами и телефонного социального инжиниринга. Рост популярности CaaS, как показал Ghost Crypt, серьезно осложняет обнаружение.
Изображение носит иллюстративный характер
Доступ получают через фишинг или drive-by компрометации. Жертвы загружают файлы вроде
Actualiza_Policy_v01.zip. Внутри — легитимный Chrome-прокси и троянизированный MSI-инсталлятор. MSI внедряет.NET-загрузчик и PowerShell-скрипт для очистки следов. Загрузчик скачивает AllaKore RAT с серверов, например, manzisuape[.]com/amw. Троян фиксирует нажатия клавиш, делает скриншоты, загружает файлы и дает полный удаленный контроль. В связке действует SystemBC — вторичная полезная нагрузка на языке C. Она превращает зараженные Windows-системы в прокси SOCKS5 для скрытой связи с командным сервером злоумышленников. К середине 2024 года Greedy Sponge усовершенствовал геофильтрацию. Если раньше она работала на стороне загрузчика внутри MSI, то теперь ограничение доступа к финальной нагрузке происходит сервер-сайд, что надежнее блокирует нецелевые регионы. Эксперты Arctic Wolf Labs подтверждают: группировка настойчива, технически не изощренна, но успешна благодаря узкой географической направленности и стабильной инфраструктуре.
Параллельно в мае 2024 года бразильские хакеры атаковали местные банки вариацией AllaKore — AllaSenha (CarnavalHeist). Активность зафиксировали HarfangLab и Cisco Talos.
В мае 2025 года eSentire обнаружила новую схему с криптером Ghost Crypt. Злоумышленники имитировали нового клиента. Жертве отправляли PDF со ссылкой на папку Zoho WorkDrive, содержащую вредоносные ZIP-файлы. Атакующий звонил, требуя немедленно открыть и запустить содержимое. Внутри — DLL, зашифрованная сервисом Ghost Crypt. Этот криптер-как-услуга (CaaS) появился 15 апреля 2025 года. Его создатель на киберфорумах хвастался обходом Microsoft Defender. Ghost Crypt расшифровывает и внедряет финальную нагрузку — троянец PureRAT — в легитимный процесс Windows
csc.exe, используя метод «инъекции гипнозом процесса». В последние месяцы активизировался Hijack Loader (IDAT Loader). По данным Splunk Threat Research Team, он распространяется через вредоносные инсталляторы Inno Setup. Их скрипты на Pascal скачивают и запускают финальную нагрузку — инфостилер RedLine, выкачивающий конфиденциальные данные.
Эти кампании демонстрируют четкие тренды: хищение учетных данных и удаленный доступ остаются главными целями. Мексика и Бразилия — ключевые регионы для атак на основе AllaKore. Злоумышленники постоянно развивают методы: внедряют серверную геофильтрацию, используют новые сервисы вроде Ghost Crypt и цепочки нагрузок. Доставка угроз разнообразна — от фишинга и троянизированных инсталляторов до злоупотребления легальными сервисами и телефонного социального инжиниринга. Рост популярности CaaS, как показал Ghost Crypt, серьезно осложняет обнаружение.
