Poco RAT: троян-хищник запускает цифровые когти в латиноамериканский бизнес
Под ударом горнодобывающая, производственная, гостиничная и коммунальная отрасли.
С февраля 2024 года испаноязычные пользователи стали мишенью новой фишинговой кампании, распространяющей троян удалённого доступа (RAT) под названием Poco RAT. Атаки нацелены на предприятия горнодобывающей, производственной, гостиничной и коммунальной отраслей, расположенных в странах Латинской Америки.
Основное внимание в коде вредоносного ПО уделено обходу анализа, связи с командным сервером (C2) и загрузке файлов, в то время как сбор данных и учётных записей не является приоритетом. Об этом сообщает компания Cofense, специализирующаяся на кибербезопасности.
Заражение начинается с фишинговых сообщений, содержащих ссылки на архивы 7-Zip, размещённые на Google Drive. Другие способы распространения включают использование HTML или PDF файлов, вложенных в письма или загружаемых через ссылки Google Drive. Легитимный сервис Google Drive в данном случае используется не случайно, а намеренно, чтобы обойти системы защиты электронной почты (Secure Email Gateway, SEG).
Используемые в атаке HTML и PDF-файлы, в свою очередь, также содержат ссылку, щелчок по которой приводит к загрузке архива, содержащего исполняемый файл вредоносного ПО. После запуска троян Poco RAT, написанный на Delphi, устанавливает постоянство на заражённом компьютере и связывается с C2-сервером для доставки дополнительных вредоносных модулей. Имя трояна связано с использованием библиотек POCO C++.
Использование Delphi указывает на то, что атака ориентирована на Латинскую Америку, где часто используются банковские трояны на этом языке. Предположение дополнительно подтверждается тем, что C2-сервер не отвечает на запросы от компьютеров, не находящихся в этом регионе.
Этот случай наглядно демонстрирует, как киберпреступники адаптируют свои методы под конкретные регионы и языковые группы. Использование испанского языка и таргетинг на латиноамериканские компании показывают, что хакеры всё чаще применяют локализованный подход для повышения эффективности атак.
Организаций по всему миру должны постоянно улучшать свою кибербезопасность и заниматься обучением сотрудников, уделяя особое внимание угрозам, специфичным для их географического положения и отрасли. Глобальное сотрудничество в сфере кибербезопасности становится ключевым фактором в противодействии подобным целенаправленным атакам.