Новый троян Poco RAT атакует испаноязычных пользователей через фишинговую кампанию

С февраля 2024 года новый троян для удаленного доступа, названный Poco RAT, стал инструментом кибератак против испаноязычных жертв. По данным компании Cofense, основными целями стали секторы добычи полезных ископаемых, производства, гостеприимства и коммунальных услуг.

Кампания начинается с фишинговых сообщений на финансовую тематику, которые содержат встроенные ссылки на архивные файлы в формате 7-Zip, размещенные на Google Drive. Другие методы включают в себя использование файлов HTML или PDF, прикрепленных к электронным письмам или скачиваемых по другой встроенной ссылке на Google Drive. Это злоупотребление легитимными сервисами позволяет злоумышленникам обходить защитные механизмы электронной почты.

Файлы HTML и PDF также включают ссылки на Google Drive, содержащие вредоносное ПО Poco RAT. После запуска, троян, написанный на Delphi и использующий библиотеки POCO C++, устанавливает связь с сервером управления и контроля (C2), чтобы загрузить дополнительные модули вредоносного ПО.

Использование Delphi указывает на то, что неопознанные злоумышленники фокусируются на Латинской Америке, регионе, известном своей уязвимостью перед банковскими троянами, написанными на этом языке программирования. Также стоит отметить, что сервер C2 не реагирует на запросы от зараженных компьютеров, не геолокализованных в этом регионе.

Эта кампания является частью увеличивающегося числа мошеннических операций, использующих социальную инженерию и обман для доставки вредоносного ПО, такого как RATы и воры информации. В связи с этим пользователи должны быть особенно осторожны и проверять подозрительные сообщения и ссылки, чтобы избежать потенциального вреда.