Этот ZIP — как матрёшка: внутри MSI, внутри RAT, внутри — ваши деньги
NewsMakerВсего один вредонос держит Мексику в страхе уже четвёртый год подряд.
Мексиканские организации продолжают оставаться целью устойчивой киберпреступной кампании, в которой используется модифицированная версия вредоносных программ AllaKore RAT и SystemBC. По информации аналитикоЯв Arctic Wolf Labs, за атакой стоит группа Greedy Sponge, действующая с начала 2021 года и ориентированная исключительно на финансовую выгоду.
На протяжении более четырёх лет злоумышленники поражают широкий круг жертв — от аграрных и банковских компаний до транспорта, развлекательной сферы и госструктур. Такой охват сочетается с географической избирательностью: интерес представителей Greedy Sponge сосредоточен почти исключительно на Мексике. По мнению исследователей, длительность кампании при отсутствии значительных изменений в инфраструктуре указывает на её эффективность.
Ключевым инструментом атак остаётся тщательно доработанный AllaKore RAT — троян с функциями удалённого управления, перехвата нажатий клавиш, снятия скриншотов, загрузки и выгрузки файлов. В новой версии добавлена возможность перехвата банковских данных и уникальной аутентификационной информации, которая затем отправляется на удалённый сервер для последующего мошенничества.
Первое подробное описание схемы появилось в январе 2024 года благодаря команде BlackBerry , которая впоследствии влилась в Arctic Wolf. По их данным, начальный вектор заражения чаще всего строится на фишинговых письмах или заражённых ZIP-архивах, распространяемых через вредоносные ссылки. Примером такого архива является файл с названием «Actualiza_Policy_v01.zip». Внутри находится легитимный исполняемый файл Chrome Proxy и троянизированный установщик MSI, маскирующий зловред.
MSI-файл использует встроенный загрузчик на базе .NET, который запрашивает полезную нагрузку с удалённого адреса (manzisuape[.]com/amw) и активирует PowerShell-скрипт для зачистки следов. После установки активируется AllaKore RAT, который при необходимости может подгрузить вторичное вредоносное ПО — в частности, SystemBC. Последний позволяет превращать заражённую машину в прокси-узел с поддержкой протокола SOCKS5, что даёт злоумышленникам возможность скрытно управлять заражённой системой и взаимодействовать с C2-серверами.
С середины 2024 года в кампанию внедрены более продвинутые меры геофильтрации. Если ранее фильтрация по региону (Мексика) происходила на клиентской стороне — в загрузчике .NET внутри MSI-файла — то теперь этот механизм перенесён на сервер. Это сделано, чтобы усложнить анализ, проводимый специалистами за пределами целевой страны.
Угроза продолжается на фоне других активных атак. Так, в мае 2025 года специалисты eSentire зафиксировали фишинговую кампанию с применением нового сервиса маскировки вредоносов — Ghost Crypt. В этом случае вредонос распространялся через PDF-файл со ссылкой на папку Zoho WorkDrive, внутри которой находился зашифрованный загрузчик PureRAT . Акторы убеждали жертву немедленно открыть файл, а затем при помощи технологии «гипноза процессов» DLL-файл внедрялся в системный процесс Windows — «csc.exe».
Ghost Crypt впервые появился на подпольных форумах в апреле 2025 года. Он позволяет обходить защиту Microsoft Defender и поддерживает множество вредоносов — от инфостилеров (Lumma, StealC, Rhadmanthys) до загрузчиков и троянов удалённого доступа (XWorm, DCRat, BlueLoader и др.).
Помимо этого, в обращение поступил новый вариант Neptune RAT (он же MasonRAT), распространяемый через JavaScript-приманки. Вредонос способен извлекать конфиденциальную информацию, регистрировать нажатия клавиш, делать скриншоты, устанавливать clipper-программы и загружать дополнительные DLL-файлы.
Схожие схемы замечены в других атаках, где в роли начального инструмента использовались вредоносные установщики Inno Setup. Они активируют Hijack Loader (также известный как IDAT Loader), а тот, в свою очередь, доставляет RedLine Stealer — утилиту для кражи информации. Как отметили в Splunk, этот метод тесно повторяет приёмы распространённого ранее D3F@ck Loader, включая применение скриптов на Pascal для запуска полезной нагрузки.
Таким образом, активность Greedy Sponge не только демонстрирует устойчивость и предсказуемость, но и наглядно показывает, как малые модификации инфраструктуры и вредоносов позволяют злоумышленникам оставаться в тени годами. Мексика в этом контексте становится своеобразной тестовой зоной, где финансово мотивированная киберпреступность чувствует себя уверенно — и, что самое тревожное, не встречает значительного сопротивления.
Мексиканские организации продолжают оставаться целью устойчивой киберпреступной кампании, в которой используется модифицированная версия вредоносных программ AllaKore RAT и SystemBC. По информации аналитикоЯв Arctic Wolf Labs, за атакой стоит группа Greedy Sponge, действующая с начала 2021 года и ориентированная исключительно на финансовую выгоду.
На протяжении более четырёх лет злоумышленники поражают широкий круг жертв — от аграрных и банковских компаний до транспорта, развлекательной сферы и госструктур. Такой охват сочетается с географической избирательностью: интерес представителей Greedy Sponge сосредоточен почти исключительно на Мексике. По мнению исследователей, длительность кампании при отсутствии значительных изменений в инфраструктуре указывает на её эффективность.
Ключевым инструментом атак остаётся тщательно доработанный AllaKore RAT — троян с функциями удалённого управления, перехвата нажатий клавиш, снятия скриншотов, загрузки и выгрузки файлов. В новой версии добавлена возможность перехвата банковских данных и уникальной аутентификационной информации, которая затем отправляется на удалённый сервер для последующего мошенничества.
Первое подробное описание схемы появилось в январе 2024 года благодаря команде BlackBerry , которая впоследствии влилась в Arctic Wolf. По их данным, начальный вектор заражения чаще всего строится на фишинговых письмах или заражённых ZIP-архивах, распространяемых через вредоносные ссылки. Примером такого архива является файл с названием «Actualiza_Policy_v01.zip». Внутри находится легитимный исполняемый файл Chrome Proxy и троянизированный установщик MSI, маскирующий зловред.
MSI-файл использует встроенный загрузчик на базе .NET, который запрашивает полезную нагрузку с удалённого адреса (manzisuape[.]com/amw) и активирует PowerShell-скрипт для зачистки следов. После установки активируется AllaKore RAT, который при необходимости может подгрузить вторичное вредоносное ПО — в частности, SystemBC. Последний позволяет превращать заражённую машину в прокси-узел с поддержкой протокола SOCKS5, что даёт злоумышленникам возможность скрытно управлять заражённой системой и взаимодействовать с C2-серверами.
С середины 2024 года в кампанию внедрены более продвинутые меры геофильтрации. Если ранее фильтрация по региону (Мексика) происходила на клиентской стороне — в загрузчике .NET внутри MSI-файла — то теперь этот механизм перенесён на сервер. Это сделано, чтобы усложнить анализ, проводимый специалистами за пределами целевой страны.
Угроза продолжается на фоне других активных атак. Так, в мае 2025 года специалисты eSentire зафиксировали фишинговую кампанию с применением нового сервиса маскировки вредоносов — Ghost Crypt. В этом случае вредонос распространялся через PDF-файл со ссылкой на папку Zoho WorkDrive, внутри которой находился зашифрованный загрузчик PureRAT . Акторы убеждали жертву немедленно открыть файл, а затем при помощи технологии «гипноза процессов» DLL-файл внедрялся в системный процесс Windows — «csc.exe».
Ghost Crypt впервые появился на подпольных форумах в апреле 2025 года. Он позволяет обходить защиту Microsoft Defender и поддерживает множество вредоносов — от инфостилеров (Lumma, StealC, Rhadmanthys) до загрузчиков и троянов удалённого доступа (XWorm, DCRat, BlueLoader и др.).
Помимо этого, в обращение поступил новый вариант Neptune RAT (он же MasonRAT), распространяемый через JavaScript-приманки. Вредонос способен извлекать конфиденциальную информацию, регистрировать нажатия клавиш, делать скриншоты, устанавливать clipper-программы и загружать дополнительные DLL-файлы.
Схожие схемы замечены в других атаках, где в роли начального инструмента использовались вредоносные установщики Inno Setup. Они активируют Hijack Loader (также известный как IDAT Loader), а тот, в свою очередь, доставляет RedLine Stealer — утилиту для кражи информации. Как отметили в Splunk, этот метод тесно повторяет приёмы распространённого ранее D3F@ck Loader, включая применение скриптов на Pascal для запуска полезной нагрузки.
Таким образом, активность Greedy Sponge не только демонстрирует устойчивость и предсказуемость, но и наглядно показывает, как малые модификации инфраструктуры и вредоносов позволяют злоумышленникам оставаться в тени годами. Мексика в этом контексте становится своеобразной тестовой зоной, где финансово мотивированная киберпреступность чувствует себя уверенно — и, что самое тревожное, не встречает значительного сопротивления.