Новости Poco RAT: троян-хищник запускает цифровые когти в латиноамериканский бизнес

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Под ударом горнодобывающая, производственная, гостиничная и коммунальная отрасли.


03g8ja6ma1aqg16aprxg4v70m5cxe4nx.jpg


С февраля 2024 года испаноязычные пользователи стали мишенью новой фишинговой кампании, распространяющей троян удалённого доступа ( RAT ) под названием Poco RAT. Атаки нацелены на предприятия горнодобывающей, производственной, гостиничной и коммунальной отраслей, расположенных в странах Латинской Америки.

Основное внимание в коде вредоносного ПО уделено обходу анализа, связи с командным сервером ( C2 ) и загрузке файлов, в то время как сбор данных и учётных записей не является приоритетом. Об этом Для просмотра ссылки Войди или Зарегистрируйся компания Cofense , специализирующаяся на кибербезопасности.

Заражение начинается с фишинговых сообщений, содержащих ссылки на архивы 7-Zip, размещённые на Google Drive. Другие способы распространения включают использование HTML или PDF файлов, вложенных в письма или загружаемых через ссылки Google Drive. Легитимный сервис Google Drive в данном случае используется не случайно, а намеренно, чтобы обойти системы защиты электронной почты (Secure Email Gateway, SEG ).

Используемые в атаке HTML и PDF-файлы, в свою очередь, также содержат ссылку, щелчок по которой приводит к загрузке архива, содержащего исполняемый файл вредоносного ПО. После запуска троян Poco RAT, написанный на Delphi , устанавливает постоянство на заражённом компьютере и связывается с C2-сервером для доставки дополнительных вредоносных модулей. Имя трояна связано с использованием библиотек POCO C++.

Использование Delphi указывает на то, что атака ориентирована на Латинскую Америку, где часто используются банковские трояны на этом языке. Предположение дополнительно подтверждается тем, что C2-сервер не отвечает на запросы от компьютеров, не находящихся в этом регионе.

Этот случай наглядно демонстрирует, как киберпреступники адаптируют свои методы под конкретные регионы и языковые группы. Использование испанского языка и таргетинг на латиноамериканские компании показывают, что хакеры всё чаще применяют локализованный подход для повышения эффективности атак.

Организаций по всему миру должны постоянно улучшать свою кибербезопасность и заниматься обучением сотрудников, уделяя особое внимание угрозам, специфичным для их географического положения и отрасли. Глобальное сотрудничество в сфере кибербезопасности становится ключевым фактором в противодействии подобным целенаправленным атакам.
 
Источник новости
www.securitylab.ru

Похожие темы