В последние годы количество кибератак, направленных на кражу учетных данных и получение несанкционированного удаленного доступа к системам, значительно увеличилось. Особенно остро эта проблема проявляется в Латинской Америке, где хакерские группы неустанно совершенствуют свои инструменты и методы взлома. Среди наиболее активных вредоносных программ в 2025 году выделяются AllaKore RAT, PureRAT и Hijack Loader, которые стали основой целого ряда сложных кампаний по сбору конфиденциальной информации и организации финансового мошенничества. AllaKore RAT – это троян удаленного доступа, который подвергся серьезным модификациям, позволяющим злоумышленникам эффективно похищать банковские учетные данные и уникальные данные аутентификации. Этот вирус используется киберпреступниками с целью обеспечения финансовых выгод: внедрение AllaKore позволяет получить полный контроль над зараженными системами, регистрировать нажатия клавиш, снимать скриншоты, скачивать и загружать файлы, а также управлять устройством жертвы удаленно.
Группа, которой Arctic Wolf Labs приписывает эту активность, известна под названием Greedy Sponge. Она работает с начала 2021 года, нацеливаясь на широкий спектр секторов экономики — от торговли и сельского хозяйства до государственного сектора, транспорта и банковской сферы. Основным регионом атак остаются мексиканские организации, что подтверждает высокую специализацию и ориентированность этой угрозы. Style атаки Greedy Sponge сохраняет узнаваемый характер: внедрение вредоносного кода происходит через тщательно замаскированные ZIP-архивы с файлами, содержащими троян AllaKore. Ключевой особенностью является использование MSI-инсталляторов Windows с включенным .
NET-загрузчиком, который скачивает и запускает основной вредоносный модуль с удаленного сервера. Кроме того, для скрытия и обхода обнаружения киберпреступники применяют PowerShell-скрипты, ответственные за очистку следов. По данным BlackBerry Research, AllaKore авторства Greedy Sponge несколько раз обновлялся: например, серверная фильтрация доступа к полезной нагрузке была улучшена, что ограничивает заражение только выбранными жертвами, обычно из Мексики. В дополнение к AllaKore часто используется вторичный вредоносный компонент SystemBC, который превращает зараженные компьютеры в SOCKS5 прокси, обеспечивая анонимную связь злоумышленников с их командными серверами. Это усложняет отслеживание и блокировку команд управления и поддержки атаки.
Важным аспектом угрозы PureRAT стала недавняя кампания с использованием сервиса шифрования Ghost Crypt, впервые зафиксированного в апреле 2025 года. Механизм распространения основан на социальной инженерии, когда злоумышленники в образе новых клиентов отправляют жертвам вредоносные PDF-документы со ссылками на Zip-файлы во внешних облачных сервисах. Методика включает агрессивное давление — злоумышленники звонят и требуют немедленного запуска файлов, чтобы не дать побороться с их заражением. Защита от такого вида атак особенно сложна, так как вредоносные DLL-файлы, зашифрованные Ghost Crypt, внедряются в легитимные процессы Windows с применением техники process hypnosis injection. Это позволяет обходить средства защиты, включая Microsoft Defender Antivirus, и эксплуатировать уязвимости без обнаружения.
Ghost Crypt как услуга предоставляет злоумышленникам инструменты для доставки различных вредоносных программ: от известных stealer'ов информации до загрузчиков и троянов удаленного доступа. Среди последних опасных проектов стоит отметить Neptune RAT (известный также как MasonRAT), обладающий широким набором возможностей — от взятия скриншотов и перехвата нажатий клавиш до установки дополнительных вредоносных модулей и клipper-малвари. Связь Neptune RAT и XWorm подчеркивает тенденцию развития и переработки исходного кода троянов с целью повышения их эффективности и скрытности. Hijack Loader, или IDAT Loader, получил популярность благодаря использованию легальных установщиков Inno Setup, выполняющих вредоносные скрипты на Pascal для скачивания последующих нагрузок, включая широко распространенный RedLine stealer. Такая техника заражения усложняет обнаружение, поскольку задействованы официальные механизмы установки программного обеспечения.
Сочетание этих угроз создает серьезную нагрузку на ИБ-специалистов, которые должны не только выявлять и устранять заражения, но и проводить профилактические мероприятия для снижения риска успешных вторжений. Важным элементом защиты становится обучение сотрудников противодействию социальной инженерии, обновление систем и использование многослойных систем безопасности, способных обнаруживать и блокировать сложные цепочки вредоносных операций. Геофильтрация, используемая Greedy Sponge, показывает готовность киберпреступников модифицировать свои инструменты под цели и регионы, что требует от компаний усиленных мер анализа трафика и мониторинга аномальных паттернов поведения сетевых процессов. Активность, зафиксированная с 2021 года и продолжающаяся по сей день, говорит о том, что традиционные методы информационной безопасности нуждаются в постоянном обновлении и интеграции современных технологий. Важно понимать, что финансовый криминал в киберпространстве становится все более изощренным, что подтверждается непрерывным развитием банковских троянов и инструментов удаленного управления.
