Slachtoffers van Spaanstalige aanvallen zijn het doelwit van een e-mailphishingcampagne die een nieuwe trojan voor externe toegang (RAT) levert, genaamd Poco-RAT sinds ten minste februari 2024.
Volgens cybersecuritybedrijf Cofense zijn de aanvallen vooral gericht op de sectoren mijnbouw, productie, horeca en nutsvoorzieningen.
“Het merendeel van de aangepaste code in de malware lijkt gericht te zijn op anti-analyse, communicatie met het commando- en controlecentrum (C2) en het downloaden en uitvoeren van bestanden, met een beperkte focus op het monitoren of verzamelen van inloggegevens”, aldus het rapport.
Infectieketens beginnen met phishingberichten met financiële lokmiddelen die ontvangers ertoe verleiden te klikken op een ingesloten URL die verwijst naar een 7-Zip-archiefbestand dat op Google Drive wordt gehost.
Andere waargenomen methoden omvatten het gebruik van HTML- of PDF-bestanden die rechtstreeks aan de e-mails zijn toegevoegd of via een andere ingebedde Google Drive-link zijn gedownload. Het misbruik van legitieme services door dreigingsactoren is geen nieuw fenomeen, omdat het hen in staat stelt om beveiligde e-mailgateways (SEG’s) te omzeilen.
De HTML-bestanden die Poco RAT verspreiden, bevatten op hun beurt een link waarmee u, wanneer u erop klikt, het archief kunt downloaden dat het uitvoerbare bestand met de malware bevat.
“Deze tactiek zou waarschijnlijk effectiever zijn dan het simpelweg verstrekken van een URL om de malware rechtstreeks te downloaden, aangezien SEG’s die de ingesloten URL zouden verkennen, alleen het HTML-bestand zouden downloaden en controleren, wat legitiem zou lijken”, aldus Cofense.
De PDF-bestanden bevatten niet anders, omdat ze ook een Google Drive-link bevatten die Poco RAT herbergt.
Eenmaal gelanceerd, vestigt de Delphi-gebaseerde malware persistentie op de gecompromitteerde Windows-host en neemt contact op met een C2-server om extra payloads te leveren. Het is zo genoemd vanwege het gebruik van de POCO C++-bibliotheken.
Het gebruik van Delphi is een teken dat de onbekende dreigingsactoren achter de campagne zich richten op Latijns-Amerika. Het is bekend dat dit gebied het doelwit is van bankingtrojans die in Delphi zijn geschreven.
Deze verbinding wordt versterkt door het feit dat de C2-server niet reageert op verzoeken die afkomstig zijn van geïnfecteerde computers die zich niet in de regio bevinden.
Deze ontwikkeling vindt plaats omdat malware-auteurs steeds vaker gebruikmaken van QR-codes die zijn ingesloten in PDF-bestanden om gebruikers te misleiden en hen ertoe te verleiden phishingpagina’s te bezoeken die zijn ontworpen om inloggegevens voor Microsoft 365 te verzamelen.
Het is ook een uiting van social engineering-campagnes die gebruikmaken van misleidende sites die populaire software promoten om malware te verspreiden, zoals RAT’s en informatiedieven zoals AsyncRAT en RisePro.
Soortgelijke aanvallen op gegevensdiefstal waren ook gericht op internetgebruikers in India. Er werden valse sms-berichten verstuurd waarin werd beweerd dat pakketten niet waren bezorgd. De gebruikers moesten op een link klikken om hun gegevens bij te werken.
De sms-phishingcampagne wordt toegeschreven aan een Chineestalige cybercrimineel met de naam Smishing Triad. Deze organisatie maakt al langer gebruik van gecompromitteerde of doelbewust geregistreerde Apple iCloud-accounts (bijvoorbeeld ‘[email protected]’) om smishingberichten te versturen en zo financiële fraude te plegen.
“De acteurs registreerden rond juni domeinnamen die de India Post imiteerden, maar gebruikten ze niet actief, waarschijnlijk ter voorbereiding op een grootschalige activiteit, die in juli zichtbaar werd”, aldus Resecurity. “Het doel van deze campagne is om enorme hoeveelheden persoonlijk identificeerbare informatie (PII) en betalingsgegevens te stelen.”
