Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Poco RAT распространяется по латиноамериканским компаниям с помощью фишинга

12/07/24

RAT2-Jul-12-2024-10-57-57-8802-AM

С февраля 2024 года испаноязычные пользователи стали мишенью новой фишинговой кампании, распространяющей троян удалённого доступа (RAT) под названием Poco RAT. Атаки нацелены на предприятия горнодобывающей, производственной, гостиничной и коммунальной отраслей, расположенных в странах Латинской Америки, пишет Securitylab.

Основное внимание в коде вредоносного ПО уделено обходу анализа, связи с командным сервером (C2) и загрузке файлов, в то время как сбор данных и учётных записей не является приоритетом. Об этом сообщает компания Cofense, специализирующаяся на кибербезопасности.

Заражение начинается с фишинговых сообщений, содержащих ссылки на архивы 7-Zip, размещённые на Google Drive. Другие способы распространения включают использование HTML или PDF файлов, вложенных в письма или загружаемых через ссылки Google Drive. Легитимный сервис Google Drive в данном случае используется не случайно, а намеренно, чтобы обойти системы защиты электронной почты (Secure Email Gateway, SEG).

Используемые в атаке HTML и PDF-файлы, в свою очередь, также содержат ссылку, щелчок по которой приводит к загрузке архива, содержащего исполняемый файл вредоносного ПО. После запуска троян Poco RAT, написанный на Delphi, устанавливает постоянство на заражённом компьютере и связывается с C2-сервером для доставки дополнительных вредоносных модулей. Имя трояна связано с использованием библиотек POCO C++.

Использование Delphi указывает на то, что атака ориентирована на Латинскую Америку, где часто используются банковские трояны на этом языке. Предположение дополнительно подтверждается тем, что C2-сервер не отвечает на запросы от компьютеров, не находящихся в этом регионе.

Этот случай наглядно демонстрирует, как киберпреступники адаптируют свои методы под конкретные регионы и языковые группы. Использование испанского языка и таргетинг на латиноамериканские компании показывают, что хакеры всё чаще применяют локализованный подход для повышения эффективности атак.

Темы:ПреступленияфишингЮжная АмерикаRAT-трояны
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...