Arctic Wolf Labs a publié une analyse technique détaillée sur les campagnes menées par Greedy Sponge, un acteur malveillant motivé par des gains financiers, qui cible les organisations mexicaines depuis 2021.
Ces campagnes utilisent une version modifiée du AllaKore RAT, un outil d’accès à distance, pour voler des informations bancaires et des jetons d’authentification. Les attaques sont lancées via des installateurs MSI trojanisés envoyés par phishing, qui déploient des variantes personnalisées d’AllaKore.
Les campagnes actuelles incluent des techniques avancées telles que le geofencing côté serveur, le vol de données bancaires, et des infections secondaires par SystemBC. Le malware maintient sa persistance en s’installant dans le dossier de démarrage et utilise des techniques de contournement UAC basées sur CMSTP.
Les capacités du malware incluent la capture de frappes clavier, de captures d’écran, et le contrôle à distance. Les informations volées sont formatées pour une ingestion structurée côté serveur.
Cet article est une analyse de menace visant à informer sur les techniques et l’impact des campagnes de Greedy Sponge.
🧠 TTP et IOC détecté
TTP
[‘T1566.001 - Phishing: Spearphishing Attachment’, ‘T1204.002 - User Execution: Malicious File’, ‘T1059.008 - Command and Scripting Interpreter: CMSTP’, ‘T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder’, ‘T1083 - File and Directory Discovery’, ‘T1056.001 - Input Capture: Keylogging’, ‘T1113 - Screen Capture’, ‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1027 - Obfuscated Files or Information’, ‘T1105 - Ingress Tool Transfer’, ‘T1573 - Encrypted Channel’, ‘T1202 - Indirect Command Execution’, ‘T1070.004 - Indicator Removal on Host: File Deletion’, ‘T1027.002 - Obfuscated Files or Information: Software Packing’]
IOC
[‘AllaKore RAT’, ‘SystemBC’, ‘installateurs MSI trojanisés’]
🔗 Source originale : https://arcticwolf.com/resources/blog/greedy-sponge-targets-mexico-with-allakore-rat-and-systembc/