Negli ultimi mesi si è registrato un forte aumento di campagne di furto credenziali e accesso remoto non autorizzato, alimentate dalla diffusione di malware sofisticati come AllaKore RAT, PureRAT e Hijack Loader. Queste minacce colpiscono principalmente organizzazioni in Messico, ma stanno rapidamente espandendo il loro raggio d’azione a livello globale, puntando a settori quali retail, agricoltura, pubblica amministrazione, intrattenimento, manifatturiero, trasporti, servizi commerciali, beni strumentali e settore bancario.

Greedy Sponge e AllaKore RAT

Alla base di molte di queste campagne si trova Greedy Sponge, un gruppo di cybercriminali attivo dal 2021. Questo gruppo utilizza una versione modificata di AllaKore RAT, un trojan d’accesso remoto personalizzato per rubare credenziali bancarie e altre informazioni sensibili, che poi vengono inviate ai server di comando e controllo per finalità di frode finanziaria. L’attacco inizia spesso tramite phishing o compromissione drive-by, con la distribuzione di archivi ZIP malevoli che, una volta aperti, rilasciano il malware nel sistema della vittima.

AllaKore RAT può inoltre scaricare ulteriori payload, come SystemBC, un malware che trasforma i computer compromessi in proxy SOCKS5, facilitando le comunicazioni anonime tra gli attaccanti e i loro server. Greedy Sponge ha perfezionato le proprie tecniche, introducendo meccanismi di geofencing che limitano l’attivazione dei payload in base all’area geografica, rendendo più difficile l’analisi da parte dei ricercatori di sicurezza.

PureRAT, Ghost Crypt e nuove tecniche di phishing

Non solo AllaKore RAT: nuove campagne di phishing sfruttano anche il modello crypter-as-a-service, come Ghost Crypt, per distribuire PureRAT. Gli attaccanti impersonano nuovi clienti e inviano PDF con link a file ZIP malevoli, spesso accompagnando il tutto con telefonate per creare urgenza nella vittima. Una volta lanciato, il malware utilizza tecniche avanzate di injection, come il process hypnosis injection, per eludere le difese e ottenere il controllo del sistema.

Neptune RAT e Hijack Loader

Parallelamente, è emersa una nuova versione di Neptune RAT, distribuita tramite file JavaScript, che permette agli attaccanti di rubare dati sensibili, catturare schermate, registrare tasti e scaricare ulteriori malware. Altri attacchi sfruttano installer Inno Setup manipolati per veicolare Hijack Loader, che a sua volta può scaricare stealer come RedLine e altri loader noti.

L'evoluzione delle minacce malware

Questo scenario mostra come l’ecosistema del malware, guidato da motivazioni finanziarie, sia in continua evoluzione, sfruttando catene di attacco multistadio e tecniche sempre più sofisticate per compromettere organizzazioni pubbliche e private.