С февраля 2024 года испаноязычные пользователи стали мишенью новой фишинговой кампании, распространяющей троян удалённого доступа (” data-html=”true” data-original-title=”RAT” >RAT) под названием Poco RAT. Атаки нацелены на предприятия горнодобывающей, производственной, гостиничной и коммунальной отраслей, сообщаетИБ-компания Cofense.
Основное внимание в коде вредоносного ПО уделено обходу анализа, связи с командным сервером (” data-html=”true” data-original-title=”C2″ >C2) и загрузке файлов, в то время как сбор данных и учётных записей не является приоритетом.
Заражение начинается с фишинговых сообщений, содержащих ссылки на архивы 7-Zip, размещённые на Google Drive. Другие способы включают использование HTML или PDF файлов, вложенных в письма или загружаемых через ссылки Google Drive. Легитимный сервис Google Drive в данном случае используется не случайно, а чтобы обойти системы защиты электронной почты (Secure Email Gateway, SEG).
Используемые в атаке HTML и PDF-файлы, в свою очередь, также содержат ссылку, щелчок по которой приводит к загрузке архива, содержащего исполняемый файл вредоносного ПО.
После запуска троян Poco RAT, написанный на Delphi, устанавливает постоянство на заражённом компьютере и связывается с C2-сервером для доставки дополнительных вредоносных модулей. Имя трояна связано с использованием библиотек POCO C++.
Использование Delphi указывает на то, что атака ориентирована на Латинскую Америку, где часто используются банковские трояны на этом языке. Предположение дополнительно подтверждается тем, что C2-сервер не отвечает на запросы от компьютеров, не находящихся в этом регионе.