Las organizaciones mexicanas están siendo atacadas por actores de amenaza para proporcionar versiones modificadas de Arakorerat y SystemBC como parte de su campaña a largo plazo.
Esta actividad se deriva de un grupo de piratería de motivación financiera llamada esponja codiciosa de Arctic Wolf Labs. Se cree que estaba activo desde principios de 2021 y se dirige indiscriminadamente a una amplia gama de sectores, incluidos minoristas, agricultura, sector público, entretenimiento, fabricación, transporte, servicios comerciales, bienes de capital y banca.
«La carga útil de Arakorerat se ha alterada significativamente para que los actores de amenaza puedan enviar calificaciones bancarias seleccionadas y credenciales únicas para volver a los servidores de comando y control (C2), con el objetivo de llevar a cabo fraude financiero», dijo la compañía de seguridad cibernética en un análisis publicado la semana pasada.
Los detalles de la campaña fueron documentados por primera vez en enero de 2024 por el Equipo de Investigación e Inteligencia de BlackBerry (ahora parte de Arctic Wolf). Esto llevó al ataque a adoptar un compromiso de phishing o conducción y, en última instancia, distribuir un archivo de cremallera atrapada que impulsara el despliegue de Allakore Rat.
La cadena de ataque analizada por Arctic Wolf muestra que el troyano de acceso remoto está diseñado para entregar opcionalmente cargas secundarias como SystemBC, un malware basado en C que convierte los hosts de Windows comprometidos en el proxy de Socks5.
Además de eliminar herramientas proxy poderosas, la esponja codiciosa ha refinado y actualizado su comercial para incorporar medidas de geografía mejoradas para el análisis de mediados de 2024 para bloquear.
«Históricamente, la geofencia en la región en la región de México se realizó en la primera fase a través de un descargador de .NET contenido en el archivo de instalador de software de Microsoft (MSI) troyanizado», dijo la compañía. «Esto se movió al lado del servidor para restringir el acceso a la carga útil final».
La última iteración distribuye un archivo ZIP («Altualiza_Policy_V01.ZIP») que contiene un archivo MSI troyanizado diseñado para eliminar los araquóladores con ejecuciones legítimos de Chrome Proxy y malware de keylog, y se adhiere al mismo enfoque que antes.
El archivo MSI está configurado para implementar un descargador .NET responsable de obtener y iniciar un troyano de acceso remoto desde un servidor externo («Manzisuape (.) Com/amw»).
Esta no es la primera vez que se usa una rata de alacole en un ataque dirigido a América Latina. En mayo de 2024, Harfanglab y Cisco Talos revelaron que la variante de Allakore, conocida como Allaasenha (también conocida como Carnavalheist), se estaba utilizando para seleccionar instituciones bancarias brasileñas por los actores de amenaza de la nación.
«Hemos estado atacando activamente a las entidades mexicanas durante más de cuatro años, por lo que consideramos que este actor de amenaza es sostenible, pero no hemos hecho ningún progreso particular», dijo Arctic Wolf. «Junto con las estrictas motivaciones económicas de este actor y su orientación geográfica limitada, es muy distintiva».
«Y más, su longevidad operativa indica el potencial de éxito operativo. Es decir, encuentran algo que les funciona y se apegue a ella. La esponja codiciosa tiene el mismo modelo de infraestructura durante la campaña».
Flujo de ataque de campaña usando Ghost Crypt
El desarrollo adoptó la nueva criptografía como un servicio conocido como Ghost Crypt, proporcionando y ejecutando Purerat, ya que Esentire detalló su campaña de phishing de mayo de 2025.
«El acceso inicial se obtuvo a través de la ingeniería social, donde los actores de amenaza se hicieron pasar por nuevos clientes y enviaron PDF que contenían enlaces a las carpetas de drive de trabajo de Zoho con archivos zip maliciosos», dijo la compañía canadiense. «Los atacantes también crearon una sensación de urgencia llamando a la víctima y solicitando que el archivo se extraiga y ejecute de inmediato».
Una investigación adicional sobre la cadena de ataque reveló que los archivos maliciosos contienen cargas de DLL cifradas de cripta fantasma, y utilizando una técnica llamada inyección de hipnosis de proceso, extrayendo e inyectando caballos troyanos (es decir, dlls) en un proceso legítimo de ventanas csc.exe.
Primero promovido por el actor de amenaza del mismo nombre el 15 de abril de 2025 en el Foro del delito Cibernético, Ghost Crypto ofrece la capacidad de evitar el antivirus defensor de Microsoft y proporcionar varios Steelers, cargadores y caballos troyanos, incluidos Luma, Radmancy, Steel, Blue Radar, Pureeloader, Skull, Xworm.
Este descubrimiento sigue la aparición de una nueva versión de Neptuno RAT (también conocido como Masonrat), distribuido a través de señuelos de archivos JavaScript, permitiendo a los actores de amenaza extraer datos confidenciales, tomar capturas de pantalla, tomar pulsaciones de teclas, soltar malware Clipper y descargar cargas de DLL adicionales.
En los últimos meses, los ataques cibernéticos han adoptado un instalador de configuración de Inno malicioso que actúa como un conducto para los cargadores de secuestro (también conocidos como cargadores IDAT), proporcionando robador de información de línea roja.
El ataque «utiliza la característica de secuencias de comandos Pascal de Inno Setup para recuperar y ejecutar la carga útil de la próxima etapa de un anfitrión comprometido o objetivo», dijo el equipo de investigación de amenazas de Splunk. «Esta técnica es muy similar al enfoque utilizado por un conocido cargador de configuración de Inno Malicioso llamado cargador D3F@CK, y sigue un patrón de infección similar».
Source link
