Un grupo de amenazas con motivación financiera denominada esponja codiciosa ha sido apuntando sistemáticamente a las instituciones y organizaciones financieras mexicanas desde 2021 con una versión muy modificada del Troyano de acceso remoto de Allakore (RAT).
La campaña representa una evolución sofisticada de las tácticas cibercriminales, que combina la ingeniería social tradicional con capacidades técnicas avanzadas diseñadas específicamente para operaciones de fraude financiero.
Los actores de amenaza implementan su malware a través de campañas de phishing de lanza y descargas de transmisión, utilizando archivos de instalador de Microsoft (MSI) troyanizado que se disfrazan como actualizaciones de software legítimas.
Estos paquetes maliciosos contienen un componente de descarga .NET que recupera la carga útil personalizada de Allakore de los servidores de comando y control alojados en HostWinds Infraestructure en Dallas, Texas.
Cadenas de ejecución anteriores y actuales (Fuente – Arctic Wolf)
Los atacantes han demostrado una astucia particular en su orientación geográfica, implementando mecanismos de geofencing del lado del servidor que restringen la entrega de carga útil exclusivamente a los sistemas ubicados dentro de México.
Investigadores de los laboratorios de Wolf Arctic identificado Mejoras significativas a las capacidades operativas del grupo de amenazas, señalando la integración de SystemBC como un vector de infección secundario.
Esta herramienta de proxy de malware multiplataforma permite a los atacantes establecer el acceso persistente de puerta trasera e implementar cargas útiles maliciosas adicionales según sea necesario.
Los investigadores observaron que las campañas recientes se han alejado del filtrado geográfico del lado del cliente a las restricciones del lado del servidor, lo que hace que la detección y el análisis sean considerablemente más desafiantes para los equipos de seguridad.
Mecanismos avanzados de persistencia y evasión
La variante modificada de Allakore emplea técnicas de persistencia sofisticadas que demuestran la madurez técnica del grupo.
Desmontaje del mecanismo de actualización y persistencia de Allakore (Fuente – Arctic Wolf)
Tras una infección exitosa, el malware establece la persistencia al colocar una versión actualizada de sí misma en la carpeta de inicio del sistema, recuperada del punto final URI /z1.txt.
El mecanismo de persistencia se combina con una operación de limpieza integral utilizando scripts de PowerShell que eliminan trazas del vector de infección inicial del directorio % AppData %.
Las capacidades de evasión del malware incluyen una técnica de omisión de control de la cuenta de usuario (UAC) que utiliza el instalador de perfil de Microsoft Connection Manager (cmstp.exe).
Este binario legítimo de Windows se explota a la ejecución proxy de código malicioso al tiempo que aparece como un proceso de actualización del sistema de rutina etiquetado como “actualizando” (español para “actualización”).
El componente de descarga .NET utiliza una cadena distintiva de agente de usuario Mozilla/4.0 (Compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.0.3705;) para comunicaciones de comando y control, empleando la codificación Base64 para ofuscar los patrones de tráfico de red.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
